Turla

Use as IBM Security QRadar Techniques for Turla Content Extension para monitorar de perto sua implantação em busca de malware Turla.

Importante: para evitar erros de conteúdo nessa extensão de conteúdo, mantenha os DSMs associados atualizados... Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Técnicas de segurança QRadar para extensão de conteúdo Turla

Técnicas IBM Security QRadar para a extensão de conteúdo Turla 1.1.1

Corrigido um problema de instalação.

Técnicas IBM Security QRadar para a extensão de conteúdo Turla 1.1.0

A tabela a seguir mostra as regras que foram atualizadas no IBM Security QRadar Techniques for Turla Content Extension 1.1.0

Tabela 1. Regras e blocos de construção no IBM Security QRadar Techniques for Turla Content Extension 1.1.0
ID UUID Nome Status
101789 ca5af962-d8e5-43fb-b8ef-bf77cf35d144 Modificação do registro de confiança do registro do Windows Removido
102489 c72ed449-4151-4f4e-a076-d4f1064fbcfb DLL GAC carregada por meio do aplicativo do Office Removido
102989 7e789e38-4b5b-4ca5-b4f4-282ce65a672e Ocultação de arquivos com Attrib Removido
104189 c673847d-b064-496b-9388-163a12d062a1 Suspeita de shell de sistema elevado Removido
104389 d6697cf6-da5b-498f-9d5d-c4d696aecf76 Descoberta de processos suspeitos com Get-Process Removido
105289 0dd7a45e-c1b5-467f-a990-f37380924769 Captura de entrada usando o bloqueio do mouse Removido
105539 a3442bb0-9bf4-4c79-a62c-7b8f1062e3bf Scripting suspeito em um consumidor WMI Removido
105689 5e68889d-181b-43c7-a48c-2bebb443fcd4 Criação de arquivos executáveis suspeitos Removido
105889 ab17bf9c-f51f-4457-8c5b-f591ad581af9 Comando executado via SettingContent-ms Removido
106789 d2084bdb-9aa2-4c3f-b53b-efc531070d01 Proprietário do sistema ou descoberta do usuárioLinux) Removido
107139 4b17de68-6a95-44b3-a395-4fe3eb8c532a Esteganografia com RAR Removido
107389 68a203e4-83ca-4455-9436-af4ed2bac6c6 Conexões SMTP de saída suspeitas Removido
109439 7631b777-2ae0-4c4a-a17c-f948d1952f09 Barramento de serviço do DNS HybridConnectionManager Removido
109639 3f22b3ad-4abf-47ce-bd96-c509478b96a0 Criação de thread remota em alvos suspeitos Removido
110039 ba7ba2d7-21da-4fd5-92ed-548f0656bc96 PowerShell DownloadFile Removido
110139 f80a6187-a4cd-48ce-84de-dbd800d7f5c2 Criação de cópias de sombra usando utilitários de sistemas operacionais Removido
111189 60182f70-816d-4126-bd08-686b87adc18f Uso de portas fora do padrão Removido
111389 acec599f-cbb8-4a07-9c2f-7196e2c4db5b Execução do binário sequestrado detectado Removido
111439 bfce7e64-7ae2-4b6a-9880-9ab7f34a7a7e Despejar credenciais do Gerenciador de Credenciais do Windows com o PowerShell Removido
111639 68f4a158-d191-4c18-b3ff-1eeb72893d35 Modificação de permissões de arquivos e diretórios (Windows) Removido
111689 21511f9a-60cc-4cf4-83cc-80f353bdd87a Comunicação com o EquationGroup C2 Tools Removido
112089 8e281e72-6e60-4aa2-90b2-a2f471f3afb0 Possível carregamento lateral da DLL do sistema a partir de locais que não são do sistema Removido
112239 1fdab5bc-3dde-44b5-a7e0-c3464681c8aa Número excessivo de nslookup do Powershell Removido
112439 5b5a233f-e523-4351-9754-6f7766da9c2a Palavras-chave suspeitas PowerShell Removido
112589 f51a88e7-6df9-4766-ad1d-63a5bc5a04f4 Subprocesso suspeito do RazerInstaller Removido
112989 45d2bc80-18ab-4c76-87ea-f2f76af7269f Execução suspeita de WMIC Removido
113139 e9b66c89-0ab6-4b10-a29e-c292c7125221 Carga de imagem do núcleo do Python detectada Removido
113339 d6230b09-465d-48ce-9da9-6a961b750923 Atividade de serviço remoto por meio do pipe nomeado SVCCTL Removido
113539 5e32ab21-e0f1-46c5-b852-179d947cb7b7 Injeção de processo via Maldoc Removido
113939 5283d971-2d12-4ad1-846a-dd390805795a Criação de usuários abusando da vulnerabilidade da Fortinet Removido
114689 f1a88d5f-0ff3-4657-9158-b980a2eb619e Comando de cópia suspeito do compartilhamento do administrador Removido
114989 8faa6e7d-06b3-4cc8-916f-dadc44e7c3d1 Download de carga útil usando o recurso Edge Headless Removido
115639 bf96a45a-caa8-492a-a767-e18eaf67fdd0 Tarefa programada suspeita Removido
115989 58f5d85e-348d-4b30-8d1b-5a53e01c6c83 Sequestro de COM com locais suspeitos Removido
116939 c7080f3e-ee57-41ea-81ea-5b3c8bafd511 Execução suspeita de conversão de arquivos GRP Removido
117539 3e84e969-1b26-43bd-a5c3-d71ba1522404 Instalação do serviço Hybrid Connection Manager Removido
117789 35b8c9c3-f245-4963-8295-aa38e1cc69bf Scripts maliciosos PowerShell Removido
117889 4f5311e5-415b-4f34-96fb-de5b449ef6fc Carregamento de imagem Python Py2Exe Removido
118639 8973a03b-53af-4f7a-91f6-dff57cca9eae Driver VirtualBox instalado ou iniciado Removido
119239 0693f1d6-8395-4da2-98f5-9143ae33d40c Criação suspeita de Get-Variable Removido
119589 95a723c3-9fb5-432f-a7d8-5c64f04ee88c Execução do Dnscat Removido
119789 d882d5f3-5271-4663-8f4d-63cc404cc7ec Exploração do EQNEDT32 Removido
119889 4d12762c-4c6e-4bf4-bf07-bde7cbf982cf Criação de arquivos por processos não privilegiados no diretório Program Files Removido
120589 12485c79-d173-4982-98d1-b5b92c02f51f Driver vulnerável carregado Removido
120689 23c071b7-bbf4-4c26-909d-2772d5158116 Detectada atividade potencial de exploração do Exchange Removido
121889 d7aa4426-0a14-4091-9c93-7e602c115f3c Desativou CrashDump via Registro Removido
122039 621d2016-ca3b-491c-a89e-80602160b83a Configurações de segurança do Outlook alteradas no registro Removido
122339 57b53d3a-e472-4a11-b5a7-93f67e698c74 Gravações suspeitas do processo NTDS Removido
122389 eefba06b-2805-4c9e-9149-ba6008a4ab35 Acesso a ADMIN$ Share Removido
122439 f453815d-c8cd-4123-85dc-73816faaf2ed Dados divididos em partes (Mac) Removido
122639 9c5e3487-7153-4947-a4ee-b601df12d474 Combinação de download e execução de curvas Removido
123239 0c7aa57b-4d8b-4039-be77-da4c9d238486 Detectada atividade de linha de comando do Ryuk Ransomware Removido
127639 45fbda19-077b-4ef7-9557-6b1e82e4d69d Arquivo executável criado por outro executável Removido
127689 f275a4c8-2a9a-43e6-8bb4-9d66944bc90a Get-ADUser Descoberta e exportação de usuários Removido

IBM Segurança QRadar Técnicas para a extensão de conteúdo Turla 1.0.4

A tabela a seguir mostra as regras que foram atualizadas em IBM Security QRadar Techniques for Turla Content Extension 1.0.4.

Tabela 2. Propriedades personalizadas atualizadas em IBM Segurança QRadar Técnicas para a extensão de conteúdo Turla 1.0.4
Nome Otimizada Descrição
Comprimento da chave Sim Esse tipo de propriedade é alterado de alfanumérico para numérico.

IBM Segurança QRadar Técnicas para extensão de conteúdo Turla 1.0.3

A tabela a seguir mostra as regras que foram atualizadas em IBM Segurança QRadar Técnicas para extensão de conteúdo Turla 1.0.3.

Tabela 3. Regras e blocos de construção em IBM Segurança QRadar Técnicas para extensão de conteúdo Turla 1.0.3
Tipo Nome Descrição
Regra Passe a atividade Hash Detecta a técnica de ataque passando o hash que é utilizado para se movimentar lateralmente dentro da rede.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Passe a atividade hash em logons de rede Detecta a técnica de ataque passando o hash que é utilizado para se movimentar lateralmente dentro da rede.

Usado sob a Licença de Regra de Detecção 1.1.

IBM Técnicas de segurança QRadar para extensão de conteúdo Turla 1.0.2

A tabela a seguir mostra as regras atualizadas no IBM Security QRadar Techniques for Turla Content Extension 1.0.2.

Tabela 4.. Regras e Blocos de Construção no IBM Security QRadar Techniques for Turla Content Extension 1.0.2
Tipo Nome Descrição
Regra Execução de Ferramentas de Exfiltração DNS Detecta a execução da ferramenta de exfiltração de DNS Baseado na regra Sigma de Execução de Ferramentas de Exfiltração e Tunelamento de DNS por Daniil Jugoslavskiy e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Restrições Remotas UAC Desativadas Detecta a modificação de registro que permite ações administrativas remotas Com base na regra Desativar Restrição Remota do UAC Sigma por Steven Dick, Teoderick Contreras e Splunk.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Subprocesso Suspeito do RazerInstaller Detecta subprocesso suspeito do RazerInstaller.exe. Com base na regra de Sigma Suspeito RazerInstaller Subprocesso do Explorer por Florian Roth e Maxime Thiebaut

Usado sob a Licença de Regra de Detecção 1.1.

IBM Security QRadar Técnicas para Turla Content Extension 1.0.1

A tabela a seguir mostra as propriedades customizadas atualizadas no IBM Security QRadar Techniques for Turla Content Extension 1.0.1.

Tabela 5.. Propriedades customizadas atualizadas no IBM Security QRadar Techniques for Turla Content Extension 1.0.1
Nome Otimizada Descrição
Definição da Propriedade do Comando Sim Essa propriedade é um item temporário para a extração customizada padrão de Propriedade de Comando a partir de cargas úteis do DSM
Definição da Propriedade do Caminho do Processo Pai.. Sim Essa propriedade é um item temporário para a extração customizada padrão do Caminho do processo pai a partir de cargas úteis do DSM

A tabela a seguir mostra as regras e blocos de construção que são atualizados no IBM Security QRadar Techniques for Turla Content Extension 1.0.1.

Tabela 6. Regras e blocos de construção no IBM Security QRadar Techniques for Turla Content Extension 1.0.1
Tipo Nome Descrição
Regra Comunicação com EquationGroup C2 Ferramentas Detecta comunicações para servidores C2 . Baseado na regra Sigma de Comunicação do Grupo de Equações C2 por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Comando executado via SettingContent-ms Detecta comando que é executado através SettingContent-ms. Baseado na regra arbitrária de execução de comando Shell por meio da regra Settingcontent-Ms Sigma de Sreeman.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Execução de Ferramentas de Exfiltração DNS Detecta a execução da ferramenta de exfiltração de DNS Baseado na regra Sigma de Execução de Ferramentas de Exfiltração e Tunelamento de DNS por Daniil Jugoslavskiy e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Restrições Remotas UAC Desativadas Detecta a modificação de registro que permite ações administrativas remotas Com base na regra Desativar Restrição Remota do UAC Sigma por Steven Dick, Teoderick Contreras e Splunk.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação de cópias de sombra usando utilitários de sistemas operacionais Detecta possíveis cenários de acesso de credenciais em que cópias de sombra são criadas usando utilitários de sistemas operacionais. Com base na criação de cópias de sombra usando a regra Sigma de utilitários de sistemas operacionais por Teymur Kheirkhabarov, Daniil Jugoslavskiy e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Shells gerados por servidores da web Detecta servidores da web que geram processos shell que podem ser o resultado de um shell da web colocado com sucesso ou outro ataque. Baseado na regra Shells Spawn by Web Servers Sigma por Thomas Patzke, Florian Roth (Nextron Systems), Zach Stanford @svch0st, Tim Shelton e Nasreddine Bencherchali (Nextron Systems).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Active Directory Enumeração de Grupo / Computador Acionadores quando um grupo ou um computador é contado no Active Directory. Com base no Active Directory Enumeração de grupo com Get-AdGroup e Active Directory Enumeração de computadores com Get-AdComputer Regras Sigma por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Obter-Descoberta e Exportação do Usuário do ADUser Aciona quando o uso do cmdlet Get-ADUser para coletar informações do usuário e produzi-las em um arquivo.. Com base na Descoberta do Usuário e Exportação Via Get-ADUser Cmdlet- PowerShell Sigma regra por Nasreddine Bencherchali (Nextron Systems).

Usado sob a Licença de Regra de Detecção 1.1.

IBM Técnicas de segurança QRadar para extensão de conteúdo Turla 1.0.0

A tabela a seguir mostra as propriedades customizadas que estão no IBM Security QRadar Técnicas para o Turla Content Extension 1.0.0

Tabela 7. Propriedades customizadas no IBM Security QRadar Techniques for Turla Content Extension 1.0.0
Nome Otimizada Descrição
máscara de acesso Sim Essa propriedade é um item temporário para a extração customizada padrão de Máscara de Acesso a partir de cargas úteis do DSM
Acessos Sim Essa propriedade é um item temporário para a extração customizada padrão de Acessos de cargas úteis do DSM.
Número da conta Sim Essa propriedade é um item temporário para a extração customizada padrão de Nome da conta de cargas úteis do DSM.
ID de Segurança da Conta Não Essa propriedade é um item temporário para extração customizada padrão de ID de segurança da conta a partir de cargas úteis do DSM.
ID de auditoria Sim Essa propriedade é um item temporário para a extração customizada padrão de ID de auditoria a partir de cargas úteis do DSM.
Pacote de Autenticação Sim Essa propriedade é um item temporário para a extração customizada padrão do Pacote de autenticação a partir de cargas úteis do DSM
Rastreio de chamada Sim Essa propriedade é um item temporário para a extração customizada padrão de Rastreio de Chamada a partir de cargas úteis do DSM
Tipo de chamada Sim Essa propriedade é um item temporário para a extração customizada padrão de Tipo de Chamada a partir de cargas úteis do DSM.
Comando Sim Essa propriedade é um item temporário para a extração customizada padrão do Comando a partir de cargas úteis do DSM
Argumentos de comando Sim Essa propriedade é um item temporário para extração customizada padrão de Argumentos de Comando de cargas úteis do DSM.
Destino do Consumidor Sim Essa propriedade é um item temporário para a extração customizada padrão de Destino do Consumidor a partir de cargas úteis do DSM.
Descrição Não Essa propriedade é um item temporário para a extração customizada padrão de Descrição de cargas úteis do DSM.
Nome do host de destino Sim Essa propriedade é um item temporário para a extração customizada padrão de Nome do Host de Destino a partir de cargas úteis do DSM
Código do erro Sim Essa propriedade é um item temporário para a extração customizada padrão de Código de Erro de cargas úteis do DSM.
Código de Erro Estendido Sim Essa propriedade é um item temporário para a extração customizada padrão de Código de Erro Estendido a partir de cargas úteis do DSM.
Diretório de Arquivos Sim Essa propriedade é um item temporário para a extração customizada padrão de Diretório do arquivo a partir de cargas úteis do DSM.
Extensão de Arquivo Sim Essa propriedade é um item temporário para a extração customizada padrão de Extensão de arquivo de cargas úteis do DSM.
Caminho de Arquivo Sim Essa propriedade é um item temporário para a extração customizada padrão de Caminho de arquivo a partir de cargas úteis do DSM
Nome do Arquivo Sim Essa propriedade é um item temporário para a extração customizada padrão de Nome do Arquivo a partir de carregamentos úteis do DSM
Acesso concedido Sim Essa propriedade é um item temporário para a extração customizada padrão de Acesso Concedido a partir de cargas úteis do DSM
Nome do grupo Sim Essa propriedade é um item temporário para extração customizada padrão de Nome do grupo a partir de cargas úteis do DSM.
Nível de representação Sim Essa propriedade é um item temporário para a extração customizada padrão de Nível de personificação a partir das cargas úteis do DSM
Iniciados Sim Esta propriedade é um item temporário para a extração customizada padrão de Iniciado a partir de cargas úteis do DSM
Nome do usuário do inicializador Sim Essa propriedade é um item temporário para a extração customizada padrão de Nome do usuário do inicializador a partir de cargas úteis do DSM
Nível de integridade Sim Essa propriedade é um item temporário para a extração customizada padrão de Nível de Integridade a partir de cargas úteis do DSM
Processo de logon Sim Essa propriedade é um item temporário para a extração customizada padrão do Processo de Logon a partir de cargas úteis do DSM
Tipo de Logon Sim Essa propriedade é um item temporário para a extração customizada padrão de Tipo de Logon a partir de cargas úteis do DSM.
Identificador da Máquina Sim Essa propriedade é um item temporário para a extração customizada padrão de Identificador da Máquina a partir de cargas úteis do DSM..
Hash MD5 Sim Essa propriedade é um item temporário para a extração customizada padrão de MD5 Hash de cargas úteis do DSM.
Comando pai Sim Essa propriedade é um item temporário para a extração customizada padrão de Comando Pai a partir de cargas úteis do DSM
Nome do processo pai Sim Essa propriedade é um item temporário para a extração customizada padrão do Nome do Processo Pai a partir de cargas úteis do DSM.
Caminho do Processo Pai Sim Essa propriedade é um item temporário para a extração customizada padrão do Caminho do processo pai a partir de cargas úteis do DSM
Nome do Canal Sim Essa propriedade é um item temporário para a extração customizada padrão de Nome do Canal a partir de cargas úteis do DSM.
Nome do Processo Sim Esta propriedade é um item temporário para a extração customizada padrão do Nome do processo a partir de cargas úteis do DSM...
Caminho do Processo Sim Essa propriedade é um item temporário para a extração customizada padrão do Caminho do processo a partir de cargas úteis do DSM
Propriedades Sim Essa propriedade é um item temporário para a extração customizada padrão de Propriedades a partir de cargas úteis do DSM
Chave de registro Sim Essa propriedade é um item temporário para a extração customizada padrão de Chave de Registro a partir de cargas úteis do DSM
Dados do valor do registro Sim Essa propriedade é um item temporário para a extração customizada padrão de Dados de Valor de Registro de cargas úteis do DSM.
Nome de destino relativo Não Esta propriedade é um item temporário para a extração customizada padrão de Nome de Destino Relativo a partir de cargas úteis DSM.
Nome do arquivo de serviço Sim Essa propriedade é um item temporário para a extração customizada padrão de Nome do arquivo de serviço a partir de cargas úteis do DSM
Nome do Serviço Sim Essa propriedade é um item temporário para a extração customizada padrão de Nome do serviço de cargas úteis do DSM.
Hash SHA256 Sim Essa propriedade é um item temporário para a extração customizada padrão de SHA256 Hash de cargas úteis do DSM.
Nome Compartilhado. Sim Essa propriedade é um item temporário para extração customizada padrão de Nome de Compartilhamento a partir de cargas úteis do DSM.
Função de início Sim Essa propriedade é um item temporário para a extração customizada padrão de Função de Início a partir de cargas úteis do DSM
Módulo de início Sim Essa propriedade é um item temporário para a extração customizada padrão do Módulo Inicial a partir de cargas úteis do DSM..
Nome da Conta do Assunto Sim Essa propriedade é um item temporário para extração customizada padrão de Nome da conta do sujeito a partir de cargas úteis do DSM.
ID de Segurança da Conta de Destino Não Essa propriedade é um item temporário para a extração customizada padrão do ID de Segurança da Conta de Destino a partir de cargas úteis DSM.
Detalhes de destino Sim Essa propriedade é um item temporário para a extração customizada padrão de Detalhes de Destino a partir de cargas úteis do DSM
Diretório do Arquivo de Destino Sim Essa propriedade é um item temporário para a extração customizada padrão do Diretório do arquivo de destino a partir das cargas úteis do DSM
Objeto de destino Sim Essa propriedade é um item temporário para a extração customizada padrão de Objeto de Destino a partir de carregamentos úteis do DSM
Nome do processo de destino Não Essa propriedade é um item temporário para extração customizada padrão de Nome do processo de destino a partir de cargas úteis do DSM.
Caminho do processo de destino Não Esta propriedade é um item temporário para a extração customizada padrão do Caminho do processo de destino a partir de cargas úteis do DSM
Nome do usuário de destino Sim Essa propriedade é um item temporário para a extração customizada padrão de Nome do Usuário de Destino a partir de cargas úteis do DSM
Tipo Não Essa propriedade é um item temporário para extração customizada padrão de Tipo a partir de cargas úteis do DSM.
Host de URL Sim Essa propriedade é um espaço reservado para a extração personalizada padrão do URL Host das cargas úteis do DSM.

A tabela a seguir mostra as regras e blocos de construção que estão no IBM Security QRadar Techniques for Turla Content Extension 1.0.0.

Tabela 8. Regras e blocos de construção no IBM Security QRadar Techniques for Turla Content Extension 1.0.0
Tipo Nome Descrição
Bloco de construção BB:BehaviorDefinition: Abuso de Findstr Detecta o abuso de findstr para evasão Os adversários podem usar findstr para ocultar seus artefatos ou procurar sequências específicas e evadir o mecanismo de defesa Com base na regra de Sigma Abusing Findstr for Defense Evasion por Furkan CALISKAN, @caliskanfurkan_, @oscd_initiativee Nasreddine Bencherchali

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Abuso de executável de impressão Detecta o uso de print.exe para a cópia de arquivo remoto Com base na regra de Sigma Abusing Print Executable por Furkan CALISKAN, @caliskanfurkan_e @oscd_initiative

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Adulteração de conta – motivos suspeitos de falha no logon Detecta códigos de erro incomuns em tentativas de login com falha para determinar atividade suspeita e violação com contas que foram desativadas ou de alguma forma restritas.
Bloco de construção BB:BehaviorDefinition: Ignorar a lista de permissões de aplicativos via Bginfo Detecta a execução do código VBscript que é referenciado no arquivo *.bgi . Com base na regra Aplicativo Whitelisting Bypass via Bginfo Sigma por Beyu Denis e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução arbitrária de comandos usando WSL Detecta o possível uso do Subsistema Windows para binário do Linux® (WSL) como um LOLBIN para executar comandos arbitrários do Linux e do Windows. Com base na regra de assinatura Execução de comando arbitrário usando WSL por oscd.community, Zach Stanford @svch0ste Nasreddine Bencherchali (Nextron Systems).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Alteração de registro do Atbroker Detecta a criação ou modificação de aplicativos Assistive Technology e a persistência com uso de 'at '. Com base na regra do Sigma Atbroker Registry Change por Mateusz Wydra e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Desova da Confluência Atlassiana Detecta a geração de processos-filhos suspeitos pelo servidor Atlassian Confluence que pode indicar uma exploração bem-sucedida. Com base na regra de Sigma Atlassian Confluence CVE-2021-26084 por Bhabesh Raj.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Comando de coleta automatizada PowerShell Detecta um adversário usando técnicas automatizadas para coletar dados internos. Com base na regra de assinatura do Comando de Coleção Automatizado PowerShell por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Prompt de comando de coleta automatizada Detecta um adversário usando técnicas automatizadas para coletar dados internos. Com base na regra de Sigma do Automated Collection Command Prompt por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Uso de opção insegura do BPFtrace Detecta o uso da opção bpftrace não segura Com base na regra de Sigma BPFtrace Unsafe Option Usage por Andreas Hunkeler (@Karneades).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: C2 Sessão sobre ICMP Detecta a sessão C2 sobre ICMP.
Bloco de construção BB:BehaviorDefinition: Nomes de arquivos de carbono Detecta quando um nome de arquivo de Carbono é descoberto O primeiro conjunto de nomes é do Carbon 3.7x, enquanto o segundo conjunto de nomes é do Carbon 3.8x.
Bloco de construção BB:BehaviorDefinition: Nome do serviço de carbono Detecta quando um serviço do Carbon é instalado
Bloco de construção BB:BehaviorDefinition: Limpando o histórico do console do Windows Identifica quando um usuário tenta limpar o histórico do console. Um adversário pode limpar o histórico de comando de uma conta comprometida para ocultar as ações realizadas durante uma intrusão.. Com base na regra de Sigma Limpando o Histórico do Console do Windows por Austin Songer @austinsonger

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: ComRAT Instalação do Registro Detecta quando um serviço ComRAT é instalado e uma carregamento útil é gravado no registro. Isso pode indicar um acesso existente, como credenciais comprometidas ou um backdoor instalado anteriormente
Bloco de construção BB:BehaviorDefinition: ComRAT Criação de tarefas agendadas Detecta quando novas criações de tarefa planejada. ComRAT utiliza tarefa planejada para executar comandos.
Bloco de construção BB:BehaviorDefinition: Comandos Comuns de Reconhecimento Detecta comandos de reconhecimento comuns que os adversários executam para reunir informações sobre a vítima

A regra pode ser ajustada pelo campo Linha de Comandos do Processo CommandLine Algumas palavras-chave comuns do Processo CommandLine que aparecem são:

  • gpresult /z
  • gpresult /v
  • gpresult
  • nbtstat -n
  • net view
  • net view /domain
  • netstat
  • netstat -nab
  • netstat -nao
  • nslookup 127.0.0.1
  • ipconfig /all
  • arp -a
  • net share
  • net use
  • systeminfo
  • net user
  • net user administrator
  • net user /domain
  • net group
  • net group /domain
  • net localgroup
  • net localgroup Administrators
  • net group 'Domain Computers' /domain
  • net group 'Domain Admins' /domain
  • net group 'Domain Controllers' /domain
  • dir '%programfiles%'
  • net group 'Exchange Servers' /domain
  • net accounts
  • net accounts /domain
  • net view 127.0.0.1 /all
  • net session
  • route
  • ipconfig /displaydns
Bloco de construção BB:BehaviorDefinition: Criação de arquivos Cron Detecta a criação de arquivo cron ou de arquivos em diretórios Cron Com base na regra de Sigma Persistence Via Cron Files por Roberto Rodriguez (Cyb3rWard0g), OTR (Open Threat Research) e MSTIC.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Preparação de arquivo muleta Detecta quando uma preparação de arquivo Crutch no local C:\AMD\Temp .
Bloco de construção BB:BehaviorDefinition: Nomes de arquivos de muleta Detecta quando os arquivos Crutch em C:\Intel são descobertos Os arquivos crunch podem incluir:
  • outllib.dll
  • finder.exe
  • resources.dll
  • outlook.dat
  • ihlp.exe
  • msget.exe
Bloco de construção BB:BehaviorDefinition: Combinação Curl Start e VBS Executam Arbitrária PowerShell Código Detecta a execução do código PowerShell arbitrário usando SyncAppvPublishingServer.vbs. Os adversários podem usar curl para fazer download de cargas úteis remotamente e executá-los. Com base na regra de Sigma Curl Download And Execute Combination por Sreeman e Nasreddine Bencherchali (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução de DLL via Register-cimprovider.exe Detecta o uso de register-cimprovider.exe para executar o arquivo DLL arbitrário Com base na regra de assinatura DLL Execution Via Register-cimprovider.exe por Ivan Dyachkov, Yulia Fomina e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução de DLL via Rasautou Detecta o uso de Rasautou.exe para carregar a DLL arbitrária especificada na opção -d e executa a exportação especificada em -p Com base na Execução de DLL via Rasautou.exe Regra de Sigma por Julia Fomina e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Dados compactados - PowerShell Detecta dados compactados coletados antes da exfiltração. Com base na regra de Sigma Dados Compactados- PowerShell por Timur Zinniatullin e oscd.community

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Excluir log do aplicativo Detecta a exclusão de arquivos de log Com base na regra de assinatura TeamViewer Arquivo de log excluído por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Desativar rastreamento ETW Detecta um comando que limpa ou desativa qualquer log de rastreamento ETW que poderia indicar uma evasão de registro. Com base na regra de Sigma Desativar do rastreio ETW por @neu5ron, Florian Roth (Sistemas Nextron), Jonhnathan Ribeiro e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Descoberta via altitude de driver padrão - Sysmon Detecta o uso de findstr com o argumento 385201, que poderia indicar uma descoberta em potencial de um serviço Sysinternals Sysmon instalado usando a altitude do driver padrão Com base na regra de assinatura Execução suspeita de Findstr 385201 por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Dotnet.exe Exec Dll e executar código não assinado LOLBIN Detects dotnet.exe executará qualquer DLL e código não assinado. Com base na regra de assinatura Dotnet.exe Exec Dll and Execute Unsigned Code LOLBIN por Beyu Denis e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: utilitários de download em eventos Detecta quando um utilitário de download está sendo usado em um Endpoint, como ftp, sftp, curl, cuteftp, wget, certutil, bitsou nc
Bloco de construção BB:BehaviorDefinition: Adulteração de registro de ETW em processos .NET Detecta mudanças nas variáveis de ambiente relacionadas à criação de log do ETW Com base na regra de assinatura Processos .NET de Tamper de Criação de Log ETW por Roberto Rodriguez (Cyb3rWard0g) e OTR (Open Threat Research).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Nomes de arquivos épicos Detecta quando os arquivos Epic são descobertos
Bloco de construção BB:BehaviorDefinition: Nomes de arquivos de log épicos Detecta quando arquivos de log Epic são descobertos.
Bloco de construção BB:BehaviorDefinition: Termos de pesquisa épicos Detecta quando a Epic faz uma procura em determinados termos
Bloco de construção BB:BehaviorDefinition: Exportação de caixa de correio do Exchange via PowerShell Detecta o cmdlet do Exchange PowerShell New-MailBoxExportRequest que exporta o conteúdo de uma caixa de correio ou archive primário para um arquivo .pst Para obter mais informações sobre esse ataque, consulte Exportação da caixa de correio do Exchange via PowerShell.
Bloco de construção BB:BehaviorDefinition: Intercâmbio PowerShell Uso de snap-ins detecta inclusão e uso de snap-ins do Exchange PowerShell para exportar dados da caixa de correio. Com base no Intercâmbio PowerShell Uso de snap-ins Regra Sigma por FPT.EagleEye, e Nasreddine Bencherchali (Nextron Systems).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Executar arquivos com Msdeploy Detecta a execução do arquivo usando o lolbin msdeploy.exe Com base na regra de assinatura Executar Arquivos com Msdeploy.exe por Beyu Denis e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: DLL de execução de escolha usando WAB Detecta que o caminho para a DLL gravada no registro é diferente do padrão. O WAB.exe ativado tenta carregar a DLL do Registry. Com base no DLL de Execução de Escolha Usando WAB.EXE Regra de Sigma por oscd.communitye Natalia Shornikova

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução via Diskshadow Detecta usando Diskshadow.exe para executar código arbitrário no arquivo de texto. Com base na Execução via Diskshadow.exe Regra de Sigma por Ivan Dyachkov e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução via WorkFolders Detecta o uso de WorkFolders.exe para executar um control.exearbitrário Com base na regra de Sigma Execução via WorkFolders.exe por Maxime Thiebaut (@0xThiebaut).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução via stordiag Detecta o uso de stordiag.exe para executar schtasks.exe, systeminfo.exee fltmc.exe. Com base na regra de Sigma Execução via stordiag.exe por Austin Songer (@austinsonger).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Download de arquivo usando ProtocolHandler Detecta o uso de ProtocolHandler para fazer o download de arquivos Os arquivos transferidos por download serão localizados na pasta de cache Com base no Download de Arquivo Usando ProtocolHandler.exe Regra de Sigma por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Descoberta de arquivos e diretórios - Linux Detecta uso de utilitários do sistema para descobrir arquivos e diretórios. Com base na regra de assinatura Descoberta de arquivo e diretório- Linux por Daniil iugoslavskiy e oscd.community

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Invocação Suspeita Fsutil Detecta parâmetros suspeitos de fsutil, como excluir o diário USN ou configurá-lo com um tamanho pequeno Com base na regra de Sigma Chamada Suspeita de Fsutil por JEcco, E.M. Anhaus e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Nomes de arquivos do Gazer Detecta quando arquivos Gazer são descobertos.
Bloco de construção BB:BehaviorDefinition: Registro do Gazer Detecta quando os nomes de registro do Gazer são descobertos
Bloco de construção BB:BehaviorDefinition: Valores de registro do Gazer Detecta quando os nomes de registro do Gazer são descobertos
Bloco de construção BB:BehaviorDefinition: Ocultar tarefa agendada por meio de adulteração de valor de índice Detecta quando o valor index de uma tarefa planejada é modificado do registro. Com base na regra de Sigma Ocultar tarefa de planejamento por meio de Tamper de valor de índice por Nasreddine Bencherchali

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Escondendo arquivos com Attrib.exe Detecta o uso de attrib.exe para ocultar os arquivos dos usuários Com base na regra de Sigma Esconder arquivos com Attrib.exe por Sami Ruohonen.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: HyperStack Nomes de arquivos Detecta quando arquivos HyperStack são descobertos.
Bloco de construção BB:BehaviorDefinition: HyperStack Cano Detecta quando o nome do canal do HyperStack é descoberto
Bloco de construção BB:BehaviorDefinition: HyperStack Registro Detecta quando registros HyperStack são descobertos.
Bloco de construção BB:BehaviorDefinition: Senha inválida no login Detecta senha inválida no login.
Bloco de construção BB:BehaviorDefinition: Senha inválida durante Kerberos Pré-autenticação Detecta uma senha inválida durante a pré-autenticação do Kerberos
Bloco de construção BB:BehaviorDefinition: Instalação do Registro Kazuar detecta quando um serviço Kazuar cria chaves de registro para persistência.
Bloco de construção BB:BehaviorDefinition: Linux Exclusão de arquivo detecta a exclusão do arquivo usando os comandos rm, shred ou unlink Adversários podem excluir arquivos usando esses comandos para encobrir suas atividades. Com base na regra de sinal Exclusão de arquivo por Ömer Günal e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Scripts de logon com UserInitMprLogonScript Detecta modificação ou criação de UserInitMprLogonScript. Com base no Scripts de logon ( UserInitMprLogonScript) Regra Sigma de Tom Ueltschi (@c_APT_ure) e Tim Shelton.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Scripts de logon com UserInitMprLogonScript Registro Detecta modificação ou criação de UserInitMprLogonScript.
Bloco de construção BB:BehaviorDefinition: Lolbin PressAnyKey e atividade de download Detecta uma determinada combinação de sinalizadores da linha de comandos usada pelo devinit.exe lolbin para fazer download de pacotes MSI arbitrários em um sistema Windows Com base no NodejsTools PressAnyKey Lolbin Regra Sigma de Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Instalação do Agente de Transporte MSExchange Detecta a instalação de um Transport Agent no Exchange. Com base na regra Sigma Instalação do MSExchange Transport Agent-Builtin por Tobias Michalski.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Registro do Agente de Transporte MSExchange Detecta modificações para a lista de agentes registrados no Exchange
Bloco de construção BB:BehaviorDefinition: Arquivos maliciosos gravados na pasta de fontes Monitora os possíveis arquivos maliciosos ocultados no local C:\Windows\Fonts\. Essa pasta não requer privilégios de administrador para ser gravada e executada. Com base na regra de assinatura Gravação de arquivos maliciosos na pasta de fontes do Sreeman.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Mavinject injeta DLL no processo em execução Detecta a injeção de processo usando a ligação assinada do Windows Mavinject com a sinalização INJECTRUNNING . Com base na regra de assinatura Mavinject Inject DLL to Running Process por frack113e Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Criação de modelo do Microsoft Excel Detecta a criação de arquivos de modelo para Microsoft Excel a partir de um processo que não é Excel. Com base na regra de Sigma Criação de Modelo do Office por Max Altgelt (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Criação de modelo do Microsoft Word Detecta a criação de arquivos de modelo para Microsoft Word a partir de um processo que não é Word. Com base na regra de Sigma Criação de Modelo do Office por Max Altgelt (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Modificação das chaves ocultas do Explorer Detecta modificações nas chaves de arquivos ocultos no registro. Com base na regra de Sigma Modificação de chaves ocultas do Explorer por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Instalação do Registro de Mosquitos Detecta quando um serviço Mosquito cria chaves de registro para persistência. O malware inclui um valor de shell em HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Bloco de construção BB:BehaviorDefinition: Instalação do Registro de Mosquitos (2) Detecta quando um serviço Mosquito cria chaves de registro para persistência. O malware inclui um valor local_update_check em HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Bloco de construção BB:BehaviorDefinition: Comando de exfiltração NTDS Detecta um comando usado por conti para exfiltrar NTDS. Com base na regra de Sigma Conti NTDS Exfiltration Command por Max Altgelt e Tobias Michalski.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução Netcat Detecta execução netcat suspeita. Com base na regra de Sigma Execução suspeita do Netcat por frack113e Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Encaminhamento de porta Netsh Detecta comandos do netsh que configuram um encaminhamento de porta Com base na regra de assinatura Nova regra de encaminhamento de porta incluída por meio do Netsh.EXX por Florian Roth (Nextron Systems), omkar72, oscd.communitye Swachchhanda Shrawan Poudel.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Encaminhamento de porta Netsh RDP Detecta comandos do netsh que configuram um encaminhamento de porta da porta 3389 usada para RDP Com base na regra Regra de encaminhamento de porta RDP incluída por meio do Netsh.EXE Sigma por Florian Roth (Nextron Systems) e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Criação de novo serviço usando PowerShell Detecta a criação de um novo serviço usando o Powershell Com base na regra de assinatura Nova criação de serviço usando o PowerShell por Timur Zinniatullin, Daniil Jugoslavskiy e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Criação de novo serviço usando Sc.EXE Detecta a criação de um novo serviço usando o utilitário sc.exe .. Com base na regra de assinatura Nova criação de serviço usando Sc.EXE por Timur Zinniatullin, Daniil Jugoslavskiy e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Passe a atividade hash em logons de rede Detecta a técnica de ataque passar o hash que é usado para mover lateralmente dentro da rede. Com base na regra de Sigma Pass the Hash Activity 2 por Dave Kennedy, Jeff Warren (método) e David Vassallo (regra).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Passe a atividade Hash em NewCredentials Logons Detecta a técnica de ataque passar o hash que é usado para mover lateralmente dentro da rede. Com base na regra de Sigma Pass the Hash Activity 2 por Dave Kennedy, Jeff Warren (método) e David Vassallo (regra).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: PortProxy Chave do registro Detecta a modificação da chave de registro do proxy da porta que é usada para o encaminhamento de porta Com base na regra de Sigma PortProxy Registry Key por Andreas Hunkeler (@Karneades).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Possível Linux Escalação de privilégios Detecta comandos shell suspeitos que indicam a fase de reunião de informações como preparação para a Escalação de Privilégio Com base na regra de assinatura Preparação de Escalada de Privilégio por Patrick Bareiss.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Possíveis modificações não autorizadas do MBR Detecta o possível uso malicioso não autorizado do bcdedit.exe Com base no Potencial Ransomware ou Violação MBR Não Autorizada Via Bcdedit.EXE Regra de assinatura por @neu5ron.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Indicadores de grupos de equações potenciais Detecta comandos de shell suspeitos usados em vários scripts e ferramentas do Grupo de Equações Com base na regra de Sigma de Indicadores do Grupo de Equações por Florian Roth

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: atividade de download de arquivo do PowerShell Detecta quando o powershell é usado para fazer download de arquivos.
Bloco de construção BB:BehaviorDefinition: Execução Powercat Detecta a execução de powercat Com base na regra do Netcat The Powershell Version Sigma por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Descoberta de arquivos e diretórios Powershell Localiza ou descobre arquivos no sistema de arquivos.. Na execução, as informações de arquivo e pasta são exibidas. Com base na regra de Sigma Descoberta de arquivo Powershell e diretório por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Pré-busca de exclusão de arquivo Detecta a exclusão de um arquivo de pré-busca Com base na regra de assinatura Arquivo de pré-busca excluído por Cedric MAURUGEON.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução de proxy via Explorer Detecta o uso do explorer.exe para evitar mecanismos de defesa. Com base na regra de Sigma Execução de Proxy Via Explorer.exe por Furkan CALISKAN, @caliskanfurkan_e @oscd_initiative

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Regsvr32 Linha de comando sem DLL Detecta uma execução de regsvr.exe que não contém uma DLL na linha de comando Com base na regra de Sigma Regsvr32 Linha de Comandos sem DLL por Florian Roth

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Certificado raiz instalado via CertMgr Detecta adversários instalando um certificado raiz em um sistema comprometido para evitar avisos ao se conectar a servidores da web controlados pelo adversário. Com base na regra de assinatura Certificado Raiz Instalado por oscd.community, @redcanarye Zach Stanford @svch0st.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Certificado raiz instalado via Certutil Detecta adversários instalando um certificado raiz em um sistema comprometido para evitar avisos ao se conectar a servidores da web controlados pelo adversário. Com base na regra de assinatura Certificado Raiz Instalado por oscd.community, @redcanarye Zach Stanford @svch0st.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Executa objeto COM via Verclsid Detecta quando o verclsid.exe é usado para executar o objeto COM via GUID. Com base na regra de assinatura Verclsid.exe Executa Objeto COM por Victor Sergeev e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Tarefa Cron agendada Detecta o uso do utilitário cron para criar uma tarefa planejada..
Bloco de construção BB:BehaviorDefinition: Tarefa/trabalho Cron agendado - Linux Detecta o uso do utilitário cron para criar uma tarefa planejada.. Com base na regra de Sigma Tarefa Cron Planejada- Linux por Alejandro Ortuno e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Tarefa agendada Gravar para System32 Tarefas Detecta a criação de tarefas a partir de processos executados de locais suspeitos. Com base na regra de Sigma de Gravação de Tarefa Planejada Suspeita em System32 Tarefas por Florian Roth

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Tarefa/trabalho agendado - Windows Detecta tarefa planejada incomum. Com base no Tarefa agendada incomum uma vez às 00:00 Regra Sigma por pH-T.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução de interpretador de script de pasta suspeita Detecta um script suspeito de execuções em pastas temporárias ou pastas acessíveis por variáveis de ambiente Com base na regra de Sigma Execução do Interpretador de Script de Pasta Suspeita por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Descoberta de software de segurança - Linux Detecta o uso de utilitários do sistema para descobrir a descoberta de software de segurança Com base na regra de Sigma do Security Software Discovery- Linux por Daniil Jugoslavskiy e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Descoberta de software de segurança - Powershell Detecta a descoberta de software de segurança do PowerShell Com base na regra de Sigma do Security Software Discovery by Powershell por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Definir arquivo de sistema do Windows com atributo Detecta arquivos marcados como um arquivo de sistema usando o utilitário attrib.exe . Com base na regra Configurar Arquivos como Arquivos do Sistema Usando Attrib.EXE Sigma por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução binária especificada via Devtoolslauncher ou OpenWith Detecta quando OpenWith.exe ou Devtoolslauncher.exe executa outro binário. Com base na regra de Sigma OpenWith.exe Executa o binário especificado por Beyu Denis, oscd.community (regra) e @harr0ey (ideia).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Esquilo Lolbin Detecta Possível Squirrel Packages Manager como Lolbin. Com base na regra de Sigma Squirrel Lolbin por Karneades / Markus Neis, Jonhnathan Ribeiro e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Atalho de inicialização criado Detecta quando um serviço cria um atalho sob a pasta de inicialização do Windows
Bloco de construção BB:BehaviorDefinition: Atividade Suspeita em Comandos Shell detecta comandos de shell suspeitos usados em várias explorações de código Com base na regra Sigma Atividade Suspeita em Comandos Shell por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução Suspeita de Atbroker Detecta Atbroker executando aplicativos Assistive Technology não padrão. Com base na regra de Sigma Execução suspeita do Atbroker por Mateusz Wydra e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Expansão de arquivo de gabinete suspeito Detecta o uso do utilitário de expansão integrado para descompactar arquivos de cabine. Com base na regra de Sigma de Expansão de Arquivo de Gabinete Suspeito por Bhabesh Raj

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Comandos Suspeitos Linux Detecta comandos relevantes frequentemente relacionados à atividade de malware ou hacking. Com base na regra de Sigma Comandos suspeitos Linux por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Comando de exclusão suspeito detecta a linha de comandos suspeita para remover exe ou dll Com base na regra de Exclusão de Arquivo Greedy Usando Del Sigma por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Log de eventos suspeito apagado via PowerShell Detecta a limpeza de logs de eventos usando o PowerShell Com base na regra de Sigma Limpeza de Log de Eventos Suspeitos ou Mudança de Configuração por Ecco, Daniil Jugoslavskiy, oscd.communitye D3F7A5105

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Log de eventos suspeito apagado via WMIC Detecta limpeza de logs de eventos usando wmic. Com base na regra de Sigma Limpeza de Log de Eventos Suspeitos ou Mudança de Configuração por Ecco, Daniil Jugoslavskiy, oscd.communitye D3F7A5105

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Log de eventos suspeito limpo via Wevtutil Detecta limpeza de logs de eventos usando wevtutil. Com base na regra de Sigma Limpeza de Log de Eventos Suspeitos ou Mudança de Configuração por Ecco, Daniil Jugoslavskiy, oscd.communitye D3F7A5105

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Atividade suspeita de grupo e reconhecimento de conta usando Net.EXE Detecta a atividade de linha de comandos de reconhecimento suspeita em sistemas Windows usando Net.EXE Com base na Atividade de Reconhecimento de Grupo Suspeito e Conta Usando Net.EXE Regra de Assinatura por Florian Roth (Sistemas Nextron), omkar72, @svch0ste Nasreddine Bencherchali (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: DLL de carga suspeita e execução de extexport Detecta quando um usuário instala certificados usando o CertOC.exe para carregar o arquivo DLL de destino Isso também detecta Extexport.exe carrega DLL e é executado a partir de outra pasta do caminho original. Com base na regra de Sigma Execução de extexport suspeita por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Carga Suspeita de Advapi31 detecta o carregamento de advapi31.dll por um processo em execução em uma pasta não comum Com base na regra de assinatura Carregamento suspeito de Advapi31.dll por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Carregadores suspeitos Detecta carregadores diferentes usados pela atividade do grupo do Lazarus Baseado na regra Sigma Lazarus Loaders por Florian Roth e wagga.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução Líquida Suspeita Detecta a atividade de linha de comandos de reconhecimento suspeita em sistemas Windows usando o Cmdlet PowerShell Get-LocalGroupMember Com base na regra de Sigma Net.exe Execution por Michael Haag, Mark Woan (melhorias), James Pemberton, @4A616D6573e oscd.community (melhorias).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Personagem de ofuscação suspeito na linha de comando Detecta uma possível ofuscação de carga útil por meio da linha de comando Com base no Caractere Dosfuscation Suspeito na Linha Commandline Sigma regra por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Registro suspeito via cscript Detecta o registro de um Provedor de VSS/VDS como um aplicativo COM +
Bloco de construção BB:BehaviorDefinition: Logon remoto suspeito com credenciais explícitas Detecta processos suspeitos que efetuam logon com credenciais explícitas
Bloco de construção BB:BehaviorDefinition: Linha de comando do shell reverso suspeito detecta comandos shell suspeitos ou código de programa que podem ser executados ou usados na linha de comandos para estabelecer um shell reverso... Com base na regra de Sigma Linha de comandos de shell reverso suspeito por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Execução de script suspeito da pasta temporária Detecta execuções de script suspeitas a partir da pasta temporária. Com base na regra de Sigma Execução de script suspeito da pasta temporária por Florian Roth, Max Altgelt e Tim Shelton.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Suspeito ZipExec Execução Detecta o uso de ZipExec , que é uma ferramenta de Prova de Conceito (POC) para agrupar ferramentas baseadas em binário em um arquivo zip protegido por senha. Com base na regra de assinatura Suspeito ZipExec Execution por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Conexão de entrada Svchost Detecta conexões recebidas suspeitas para o processo svchost.exe .
Bloco de construção BB:BehaviorDefinition: Exclusão de arquivo Sysinternals SDelete Detecta a exclusão de arquivos por Sysinternals SDelete.. Com base na regra Sigma File Deleted Via Sysinternals SDelete de Roberto Rodriguez (Cyb3rWard0g) e OTR (Open Threat Research).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Descarregamento do driver Sysmon Detecta o possível descarregamento do driver Sysmon Com base na regra do Sigma Sysmon Driver Unload por Kirill Kiryanov e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: TaskCache Modificação de registro detecta modificações de registro suspeitas para a chave TaskCache Com base na regra de Sigma Planejado TaskCache por Programa Incomum por Syed Hasan (@syedhasan009).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Histórico de conexão do cliente do Terminal Server apagado - Registro Detecta a exclusão de chaves do registro que contêm o histórico de conexão do MSTSC Com base na regra Sigma Histórico de Conexão do Cliente do Servidor de Terminal Limpar-Registro por Christian Burkard (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Movimento Lateral do Grupo Turla Detecta o movimento lateral automatizado pelo grupo Turla Com base na regra Sigma Movimento Lateral do Grupo Turla por Markus Neis.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Turla LightNeuron Instalação É acionado quando um Turla LightNeuron é instalado
Bloco de construção BB:BehaviorDefinition: Turla LightNeuron Objetos Aciona quando um objeto Turla LightNeuron é carregado.
Bloco de construção BB:BehaviorDefinition: Usuário adicionado aos administradores locais Detecta contas do usuário que são incluídas no grupo Administradores locais, que podem ser atividade legítima ou um sinal de atividade de escalada de privilégio.
Bloco de construção BB:BehaviorDefinition: Agente do usuário alterado via Curl Detecta um início de processo curl suspeito com agente do usuário. Com base na regra de Sigma Agentes do usuário de mudança de curl suspeitos- Linux por Nasreddine Bencherchali (Nextron Systems).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Agente do usuário alterado via Powershell Detecta a incorporação de comandos suspeitos em um agente do usuário Com base na regra de Sigma Mudar agentes do usuário com WebRequest por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: WinDbg/CDB Ignorar o uso da lista de permissões de aplicativos e uso do LOLBIN via Dxcap.exe Detecta a execução de Dxcap.exe e também detecta o uso de cdb.exe para ativar o shellcode de 64 bits ou processos ou comandos arbitrários de um arquivo de script do depurador. Com base no WinDbg/CDB Uso de LOLBIN Regra Sigma de Beyu Denis, oscd.community e Nasreddine Bencherchali.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Processos de shell/script do Windows gerando programas suspeitos Detecta processos filhos suspeitos de um shell do Windows e processos de script como wscript, rundll32, powershelle mshta. Com base na regra de Sigma Shell do Windows / Processos de Script de Spawn de Programas Suspeitos por Florian Roth (Sistemas Nextron) e Tim Shelton.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Descoberta de software do Windows Aciona quando o software Windows é descoberto. Com base na regra de Sigma Descoberta de Software do Windows Detectada por Nikita Nazarov e oscd.community

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Descoberta de software do Windows - PowerShell Aciona quando o software Windows é descoberto. Com base na regra de Sigma do Detected Windows Software Discovery- PowerShell por Nikita Nazarov e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Carga binária do serviço Spooler do Windows Detecta o carregamento DLL da pasta de backup do Serviço Spooler. Com base no Carga binária suspeita do serviço Spooler do Windows Regra Sigma por FPT.EagleEye, e Thomas Patzke (melhorias).

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Exclusão de arquivo do serviço Spooler do Windows Detecte exclusões DLL da pasta do driver do Spooler Service. Com base na regra de Sigma Exclusão de Arquivo Suspeito do Serviço Spooler do Windows por Bhabesh Raj.

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Cliente de atualização do Windows LOLBIN Detecta a execução de código por meio do cliente Windows Update. Com base na regra do Windows Update Client LOLBIN Sigma por FPT.EagleEye .

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:BehaviorDefinition: Proteção contra gravação para armazenamento desativado Detecta as mudanças no registro para desativar qualquer propriedade de proteção contra gravação para dispositivos de armazenamento Com base na regra de Sigma Write Protect For Storage Disabled por Sreeman

Usado sob a Licença de Regra de Detecção 1.1.

Bloco de construção BB:CategoryDefinition: Permissão do arquivo alterada Define quando um comando foi executado para mudar as permissões designadas a um arquivo.
Bloco de construção BB:CategoryDefinition: eventos de download de objeto Edite este bloco de construção para incluir todas as categorias de eventos relacionadas ao download de objetos (arquivo, pasta, etc.).
Bloco de construção BB:DeviceDefinition: Dispositivos terminais Define os dispositivos de Terminal no sistema
Regra Abuso de token de acesso Detecta personificação e roubo de token. Com base na regra de Sigma Abuso de token de acesso por Michaela Adams e Zach Mathis.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Acesso ao compartilhamento ADMIN$ Detecta acesso ao compartilhamento $ADMIN. Com base na regra de Sigma Acesso a ADMIN$ Compartilhar por Florian Roth

Usado sob a Licença de Regra de Detecção 1.1.

Regra Active Directory Enumeração de Grupo / Computador Aciona quando um grupo ou um computador é enumerado no Active Directory. Com base no Active Directory Enumeração de grupo com Get-AdGroup e Active Directory Enumeração de computadores com Get-AdComputer Regras Sigma por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Active Directory Kerberos DLL Carregado por meio do Aplicativo Office Detecta a DLL Kerberos sendo carregada por um produto Microsoft Office. Com base na regra do Active Directory Kerberos DLL Carregado por meio do Aplicativo Office Sigma por Antonlovesdnb.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Active Directory Analisando DLL Carregada Via Aplicativo Escritório Detecta DLL DSParse sendo carregado por um produto Microsoft Office. Com base na regra de Sigma Active Directory Analisando DLL Carregada por meio do Aplicativo Office por Antonlovesdnb.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Arquivos de gravação de fluxos de dados alternativos Detecta arquivos de gravação de fluxo de dados alternativo (ADS). O ADS pode ser utilizado para armazenar arquivos de configuração. Com base na regra Sigma do Fluxo de Dados Alternativos NTFS por Sami Ruohonen.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Tentativa de ignorar o UAC por meio do Windows Firewall Snap-In Hijacking Detecta tentativas de ignorar o UAC por meio do snap-in do firewall do Windows.

Para obter mais informações sobre esse ataque, consulte Contorno do UAC por meio do Windows Firewall Snap-In Hijack.

Regra Comandos de coleção automatizados Detecta um adversário usando técnicas automatizadas para coletar dados internos.
Regra DLL CLR carregada por meio do aplicativo do Office Detecta DLL do CLR sendo carregado por um produto Microsoft Office. Com base na regra Sigma CLR DLL Loaded Via Office Applications por Antonlovesdnb.

Usado sob a Licença de Regra de Detecção 1.1.

Regra DLL CLR carregada por meio de aplicativos de script Detecta DLLs do CLR sendo carregadas por aplicativos de script. Com base no DotNet DLL CLR Carregado por Aplicativos de Script Regra Sigma por omkar72e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Interceptação de COM com locais suspeitos Detecta possível interceptação de COM em que o 'Servidor' (In/Out) está apontando para um local suspeito. Com base na regra de assinatura Hijacking COM para persistência com locais suspeitos por Nasreddine Bencherchali.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Interceptação de COM via Sdclt Detecta possível interceptação de COM via Sdclt. Baseado no COM Hijack via Sdclt Sigma regra por Omkar Gudhate.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Radles de Download do Objeto COM. Detecta o uso de objetos COM que podem ser abusados para fazer download de arquivos no PowerShell pelo CLSID. Com base na regra de assinatura Script de uso de berços de download de objetos COM potenciais por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Conexão iniciada pelo Certutil Detecta uma conexão de rede inicializada pela Ferramenta certutil.exe Os invasores podem abusar do certutil.exe para baixar malware ou ferramentas ofensivas de segurança. Com base na regra de assinatura Certutil Initiated Connection por frack113e Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Limpar Histórico de Comando.. Detecta atividade limpar histórico de comando.
Regra ComRat Registry Service Aciona quando um serviço comrat é instalado e uma carregamento útil é gravado no registro. Isso pode indicar um acesso existente, como credenciais comprometidas ou um backdoor instalado anteriormente
Regra Comando executado via SettingContent-ms Detecta comando executado via SettingContent-ms. Com base no Execução arbitrária de comandos Shell via Settingcontent-Ms Regra Sigma de Sreeman.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Execução de linha de comando com URL suspeito e cadeias de caracteres AppData Detecta uma execução de linha de comando suspeita que inclui um URL e uma string AppData nos parâmetros da linha de comando, conforme usado por vários droppers. Baseado na regra Sigma Command Line Execution with Suspicious URL and AppData Strings, de Florian Roth, Jonhnathan Ribeiro e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Comunicação com EquationGroup C2 Ferramentas Detecta comunicações para servidores C2 . Com base na regra de Sigma Grupo de Equações C2 Comunicação por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Copiando Arquivos Sensíveis com Dados de Credencial Detecta tentativas de copiar arquivos sensíveis com dados de credenciais. Com base na regra de assinatura Copiando arquivos sensíveis com dados de credenciais por Teymur Kheirkhabarov, Daniil Jugoslavskiy e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação do Arquivo Macro do Outlook C2 Detecta a criação de um arquivo de macro do Outlook C2 . Com base no Panorama C2 Criação de macros Regra Sigma por @ScoubiMtl.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação de Arquivos Executáveis Suspeitos Detecta a criação de arquivos executáveis suspeitos Com base na regra Criação de arquivo executável suspeito Sigma por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação ou Modificação de Aplicativos de Tecnologia Auxiliares Detecta a criação ou modificação de aplicativos Assistive Technology. Com base na regra do Sigma Atbroker Registry Change por Mateusz Wydra e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação ou modificação de uma nova tarefa ou serviço planejado do GPO Detecta a criação ou modificação de uma nova tarefa ou serviço planejado baseado em Política de Grupo. Com base na regra de Sigma Persistência e Execução em Escala via Tarefa Planejada do GPO por Samir Bousseaden.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Ferramentas de dump de credencial denominadas canais Detecta a execução de ferramentas de dumping de credenciais conhecidas por meio de canais nomeados específicos. Com base na regra de Sigma Cred Dump-Tools Named Pipes por Teymur Kheirkhabarov e oscd.community

Usado sob a Licença de Regra de Detecção 1.1.

Regra Curl Download E Executar Combinação Detecta possíveis invasores usando curl para fazer download de cargas úteis remotamente e executá-los. Com base na regra de Sigma Curl Download And Execute Combination por Sreeman e Nasreddine Bencherchali (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Execução de Ferramentas de Exfiltração DNS Detecta a execução da ferramenta de exfiltração de DNS Com base na regra de Sigma Execução de Ferramentas de Exfiltração e Tunelamento de DNS por Daniil Jugoslavskiy e oscd.community

Usado sob a Licença de Regra de Detecção 1.1.

Regra Exfiltração de DNS no Powershell Detecta a exfiltração de DNS no powershell. Com base na regra de Sigma Powershell DNSExfiltration por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Regra DNS HybridConnectionManager Ônibus de serviço Detecta Hybrid Connection Manager consultando o barramento de serviço. Com base no DNS HybridConnectionManager Ônibus de serviço Regra Sigma de Roberto Rodriguez ( Cyb3rWard0g) e OTR (Pesquisa de Ameaças Abertas).

Usado sob a Licença de Regra de Detecção 1.1.

Regra DarkSide Atividade de Ransomware Detectada Detecta a atividade de ransomware DarkSide Com base no DarkSide Ransomware Pattern Sigma regra por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Dados divididos em partes (Mac) Detecta dados divididos em partes. Com base na regra de Sigma Dividir um Arquivo em Peças por Igor Fits, Mikhail Larin e oscd.community

Usado sob a Licença de Regra de Detecção 1.1.

Regra Dados divididos em partes (Unix) Detecta dados divididos em partes. Com base na regra de Sigma Dividir um arquivo em partes- Linux por Igor Fits e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Contas padrão usadas Detecta as contas padrão usadas Com base na regra de assinatura Manipulação Suspeita de Contas Padrão por Nasreddine Bencherchali.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Desativar Funcionalidades do Windows Defender por meio de Chaves de Registro Detecta quando invasores desativam a funcionalidade do Windows Defender usando o registro do Windows. Com base no Desative as funcionalidades do Windows Defender por meio de chaves de registro Regra Sigma por AlertIQ, Ján Trenčanský, frack113, Nasreddine Bencherchali e Swachchhanda Shrawan Poudel.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Desativado CrashDump via Registro Detecta o CrashDump desativado por meio de modificação de registro Com base na regra de Sigma CrashControl CrashDump Desativado por Tobias Michalski

Usado sob a Licença de Regra de Detecção 1.1.

Regra Conexão de Rede de Saída Dllhost Detecta as conexões de saída iniciadas pelo dllhost.exe
Regra Dllhost.exe Anomalia de Execução Detecta o spawn do processo dllhost.exe sem argumentos de linha de comandos que são raros e podem indicar atividade de injeção de processo ou malware imitando processos do sistema semelhantes. Com base na regra de assinatura Dllhost.EXE Anomalia de execução por Nasreddine Bencherchali (Nextron Systems).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Descoberta de confiança de domínio Detecta a execução de nltest.exe e dsquery.exe para a descoberta de confiança de domínio Essa técnica é usada por invasores para enumerar confiança do Active Directory . Com base na regra de Sigma Descoberta de Confiança de Domínio por E.M. Anhaus (originalmente do Atomic Blue Detections), Tony Lambert, oscd.communitye omkar72.

Usado sob a Licença de Regra de Detecção 1.1.

Regra DotNET DLL Carregada por meio do Aplicativo Office Detecta qualquer DLL de conjunto sendo carregado por um produto Microsoft Office. Com base na regra Sigma DotNET Assembly DLL Carregada por meio do Aplicativo Office por Antonlovesdnb.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Fazer download da carga útil usando o recurso sem interface com o usuário da borda Detecta o download de cargas úteis usando o recurso sem cabeça do Edge. Com base na regra de Sigma Potencial de Download de Arquivo Arbitrário Via MSEdge.EXE por Florian Roth (Sistemas Nextron) e Nasreddine Bencherchali (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Fazer download da carga útil por meio do console usando o Edge Detecta o download de cargas úteis usando o console do Edge Com base no Abuso de borda para download de carga útil por meio do console Regra de Sigma por mdecrevoisier

Usado sob a Licença de Regra de Detecção 1.1.

Regra Credenciais de Dump do Gerenciador de Credenciais do Windows com PowerShell Detecta adversários que procuram locais comuns de armazenamento de senha para obter credenciais do usuário Com base nas Credenciais de Dump do Gerenciador de Credenciais do Windows com PowerShell Regra de Sigma por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Regra Rastreio ETW Desativado Detecta um comando que limpa ou desativa qualquer log de rastreamento ETW que poderia indicar uma evasão de registro. Com base na regra Desativar do Rastreio ETW Sigma por @neu5ron, Florian Roth, Jonhnathan Ribeiro e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Descoberta de conta de e-mail do Powershell Detecta a descoberta de conta de email do Powershell
Regra Atividade do canal criptografado Detecta atividade do canal criptografado. Com base na regra de assinatura Conexão SSL suspeita por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Enumerar Credenciais do Gerenciador de Credenciais do Windows com o PowerShell Detecta adversários que procuram locais comuns de armazenamento de senha para obter credenciais do usuário
Regra Número excessivo de nslookup do Powershell Detecta um número excessivo de nslookup do Powershell. Com base na regra Nslookup PowerShell Download Cradle- ProcessCreation Sigma por Nasreddine Bencherchali (Nextron Systems).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Arquivo executável criado por outro executável É acionado quando um executável é criado por outro executável Com base na Criação de um Executável por uma Regra de Sigma Executável por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Regra Execução de Dnscat Detecta a execução de Dnscat Com base na regra de assinatura Execução do Dnscat por Daniil Jugoslavskiy e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Execução de Ferramentas de Exfiltração e Tunelamento Detecta a execução de ferramentas de exfiltração e de tunelamento Com base na regra Sigma Execução de Ferramentas de Exfiltração e Tunelamento por Daniil Jugoslavskiy e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Execução de Não DLL Usando Rundll32 Detecta rundll32.exe em execução não DLL Com base na regra de assinatura Suspeito Rundll32 Execution With Image Extension pelo Hieu Tran.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Execução do Tap Installer Software Detecta a execução do software Tap Installer Com base na regra de Sigma Execução do instalador de toque por Daniil Jugoslavskiy, Ian Davis e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Exploração de EQNEDT32 Detecta CVE-2017-11882 , que é uma exploração de EQNEDT32.EXE para gerar outros processos. Com base na regra de assinatura Descartes explorando CVE-2017-11882 por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação de arquivo por processos não privilegiados no Diretório de arquivos de programas Detecta a criação de arquivo por processos não privilegiados no diretório de Arquivos de Programas Com base na regra de assinatura Arquivos Eliminados para Arquivos de Programas por Processo Não Primário por Teymur Kheirkhabarov (ideia), Ryan Plas (regra) e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Download de arquivo via Bitsadmin Detecta o uso de bitsadmin fazendo download de um arquivo. Com base na regra de assinatura File Download Via Bitsadmin por Michael Haag e FPT.EagleEye.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Modificação de permissão de arquivo e diretório (Windows) Detecta modificação de permissão de arquivo e de diretório no Windows Com base na regra de Sigma Modificações de Permissões de Arquivo ou Pasta por Jakob Weinzettl, oscd.communitye Nasreddine Bencherchali..

Usado sob a Licença de Regra de Detecção 1.1.

Regra Modificação de permissão de arquivo e diretório após download Detecta modificação de permissão de arquivo e diretório após evento de download de arquivo.
Regra Chamada suspeita de dedo Detecta a execução de ferramenta finger.exe envelhecida suspeita frequentemente usada em ataques de malware hoje em dia. Com base na regra de assinatura Finger.exe Chamada Suspeita por Florian Roth (Sistemas Nextron), omkar72e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra GAC DLL carregado por meio do aplicativo Office Detecta qualquer DLL GAC sendo carregado por um produto Microsoft Office. Com base na regra Sigma GAC DLL Loaded Via Office Applications por Antonlovesdnb.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Obter-Descoberta e Exportação do Usuário do ADUser Aciona quando o uso do cmdlet Get-ADUser para coletar informações do usuário e produzi-las em um arquivo.. Com base no User Discovery And Export Via Get-ADUser Cmdlet- PowerShell Sigma rule por Nasreddine Bencherchali (Nextron Systems).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Google Chrome Carregamento lateral de DLL Detecta o carregamento lateral de DLL no Google Chrome Com base na regra Sigma do Potencial Chrome Frame Helper DLL Sideloading por Nasreddine Bencherchali (Sistemas Nextron) e Wietze Beukema (projeto e pesquisa).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Ocultando Arquivos com Attrib Detecta o uso de attrib.exe para ocultar os arquivos dos usuários Com base na regra de Sigma Esconder arquivos com Attrib.exe por Sami Ruohonen.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Instalação do serviço do Hybrid Connection Manager Detecta a instalação do serviço do Hybrid Connection Manager Com base no HybridConnectionManager Instalação de serviço Regra Sigma de Roberto Rodriguez ( Cyb3rWard0g) e OTR (Pesquisa de Ameaças Abertas).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Na memória PowerShell Detecta o carregamento de DLLs essenciais usadas por PowerShell, mas não pelo processoPowershell.exe . Com base na regra de assinatura In-memory PowerShell por Tom Kern, oscd.community, Natalia Shornikova e Tim Shelton.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Captura de entrada usando bloqueio do mouse Detecta a captura de entrada usando a ferramenta de bloqueio do mouse Com base na regra de Sigma Mouse Lock Credential Gathering por Cian Heasley

Usado sob a Licença de Regra de Detecção 1.1.

Regra Linux Execução da Ferramenta Doas Detecta a execução da ferramenta do Linux doas Com base na regra de Sigma Linux Doas Tool Execution por Sittikorn S e Teoderick Contreras

Usado sob a Licença de Regra de Detecção 1.1.

Regra Código do idioma do sistema de pesquisa Detecta a consulta do código de idioma do sistema Com base na regra de assinatura do Console CodePage Lookup Via CHCP por _pete_0e TheDFIRReport.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Malicioso Base64 no Registro Detecta modificações de gravação de registro em que um adversário tenta ocultar comandos codificado Com base na regra de Sigma Variável de ambiente suspeita foi registrada por Nasreddine Bencherchali.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Canal nomeado malicioso Aciona quando um pipe nomeado é criado por malware APT conhecido.
Regra Scripts maliciosos do PowerShell Detecta a criação de scripts do Powershell conhecidos para exploração Com base no Malicioso PowerShell Scripts- FileCreation Regra de Sigma por Markus Neis, Nasreddine Bencherchali (Nextron Systems), Mustafa Kaan Demir e Georg Lauenstein.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Uso malicioso do painel de controle Detecta o uso malicioso de itens do painel de controle Baseado nos Itens do painel de controle por Kyaw Min Thein e Furkan Caliskan (@caliskanfurkan_).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Tarefa ou Serviço de mascaramento É acionado quando a tarefa ou o serviço está mascarado
Regra Comunicação do Microsoft Binary Github Detecta um executável na pasta do Windows acessando github.com. Com base na regra de Sigma Comunicação do Github Binário da Microsoft por Michael Haag (ideia), Florian Roth (regra).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Terminal de comunicação suspeita binária da Microsoft Detecta um executável na pasta do Windows acessando domínios suspeitos. Com base na regra de Sigma Terminal de Comunicação Suspeito Binário da Microsoft por Florian Roth (Sistemas Nextron) e Nasreddine Bencherchali (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Transferência lateral de DLL do Microsoft Office Detecta o carregamento lateral de DLL de DLLs que fazem parte do Microsoft Office de um local não padrão. Com base no Microsoft Office DLL Sideload Sigma regra por Nasreddine Bencherchali (Nextron Systems) e Wietze Beukema (projeto e pesquisa).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação de Modelo Microsoft Office Detecta a criação de arquivos de modelo para o Microsoft Office de fora do Office.
Regra Execução Mimikatz Detecta argumentos conhecidos da linha de comandos Mimikatz. Com base no HackTool -Mimikatz Execution por Teymur Kheirkhabarov, oscd.community, David ANDRE (palavras-chave adicionais) e Tim Shelton.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Várias falhas de login devido a senha inválida Detecta o adversário executando a pulverização de senha.
Regra Atividade de descoberta de compartilhamento de rede Detecta a atividade de descoberta de compartilhamento de rede
Regra Atividade de sniffing de rede Detecta atividades de farejamento de rede Com base na regra de Sigma Network Sniffing por Timur Zinniatullin e oscd.community

Usado sob a Licença de Regra de Detecção 1.1.

Regra Novo certificado incluído no armazenamento de certificados Detecta a inclusão de novos certificados raiz, CA ou AuthRoot no registro do Windows. Com base na regra de Sigma Nova Raiz ou CA ou AuthRoot para Armazenar por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Nova regra de encaminhamento de porta incluída por meio do Netsh Detecta a execução de comandos netsh que configuram uma nova regra de encaminhamento de portas (PortProxy) Com base na regra de assinatura Nova regra de encaminhamento de porta incluída por meio do Netsh.EXX por Florian Roth (Nextron Systems), omkar72, oscd.communitye Swachchhanda Shrawan Poudel.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Nova criação de serviço. Detecta a criação de um novo serviço..
Regra Uso de porta não padrão Detecta o uso de porta não padrão Com base na regra de Sigma Portas de conexão de retorno de malware típicas suspeitas por Florian Roth (Sistemas Nextron)....

Usado sob a Licença de Regra de Detecção 1.1.

Regra Outlook C2 Criação de Macro Detecta a criação de um arquivo de macro para o Outlook. Com base no Panorama C2 Criação de macros Regra Sigma por @ScoubiMtl.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Configurações de segurança do Outlook alteradas no registro Detecta a mudança nas configurações de segurança de e-mail do Outlook Com base na regra Alterar Configuração de Segurança do Outlook no Registro Sigma frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Passe a Atividade de Hash Detecta a técnica de ataque passar o hash que é usado para mover lateralmente dentro da rede.
Regra Chave de Registro de Persistência para Lixeira Detecta a chave de registro de persistência para a lixeira Com base no Mecanismos de Persistência de Registro na Lixeira Regra de Sigma por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Regra Persistência e execução em escala por meio da tarefa planejada do GPO Detecta o movimento lateral usando a tarefa planejada do GPO Com base na regra de Sigma Persistência e Execução em Escala via Tarefa Planejada do GPO por Samir Bousseaden.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Persistência por meio da chave de registro de serviços Detecta um adversário tentando persistir por meio da criação ou modificação de um serviço existente. Com base na regra de Sigma ServiceDll Hijack por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Regra Persistência por meio da pasta de inicialização Detecta quando um arquivo com uma extensão suspeita é criado na pasta de inicialização.. Com base na regra de Sigma Persistência de pasta de inicialização suspeita por Nasreddine Bencherchali.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Padrões de phishing no arquivo ISO Detecta quando um arquivo ISO é aberto com aplicativos archive. Com base na regra de Sigma Padrão de Phishing ISO no Archive por Florian Roth

Usado sob a Licença de Regra de Detecção 1.1.

Regra Possível Tentativa de Força Bruta Detecta o adversário executando força bruta.
Regra Possível Turla LightNeuron Instalação Backdoor É acionado quando um Turla LightNeuron Backdoor é instalado LightNeuron tem como destino servidores de e-mail do Microsoft Exchange que usam o Agente de Transporte.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Archive Potencial de Dados Coletados Aciona quando dados são arquivados ou compactados para exfiltração. Um adversário pode compactar dados, como documentos sensíveis, que são coletados antes da exfiltração, a fim de torná-los móveis e minimizar a quantidade de dados enviados pela rede.
Regra Potenciais Scripts de Inicialização de Inicialização de Logon ou de Inicialização de Inicialização Detecta acionadores quando uma modificação é feita nos scripts de logon do Windows para inicializar scripts de inicialização ou logon.
Regra Potencial C2 Comunicação sobre um Protocolo de Camada Não Aplicativo Detecta adversários usando um protocolo de camada não aplicativo para comunicação entre o host e o servidor C2 ou entre hosts infectados em uma rede.
Regra Atividade de Carbono Potencial Detecta a atividade de carbono que se comunica com o servidor C & C para exfiltrar dados.
Regra Potencial ComRAT Atividade Detecta a atividade ComRAT que é um carregador de powershell para criar tarefas planejados
Regra Potenciais Intérpretes de Comando e Script Aciona quando um comando e interpretadores de script são detectadas
Regra Potencial Configuração e Reconhecimento de Serviço Detecta tentativas de reconhecimento do registro. Adversários podem interagir com o registro do Windows para reunir informações sobre credenciais, o sistema, a configuração e o software instalado. Com base na regra de Sigma do Registro de Consulta por Timur Zinniatullin, oscd.community

Usado sob a Licença de Regra de Detecção 1.1.

Regra Atividade de muleta potencial Detecta atividade Crutch que criptografa e extrai dados.
Regra Padrão de injeção de DLL potencial detectado Detecta uso potencial de CreateRemoteThread API e LoadLibrary função para injetar uma DLL em um processo. Com base no CreateRemoteThread API e LoadLibrary por Roberto Rodríguez @Cyb3rWard0g.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Interceptação de ordem de procura de DLL em potencial Aciona quando tenta criar um arquivo DLL para uma pasta de dependências do aplicativo de área de trabalho conhecida como Slack, Teams ou OneDrive e por um processo incomum. Isso pode indicar uma tentativa de carregar um módulo malicioso via interceptação de ordem de procura DLL. Com base na regra de Sigma Acesso inicial potencial por meio de interceptação de ordem de procura de DLL por Tim Rauch (regra) e Elastic (ideia).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Exfiltração de dados potenciais por meio de curl Detecta a execução do processo curl com sinalizações upload . O que pode indicar possível exfiltração de dados. Com base na regra de Sigma Upload de arquivo curl suspeito por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Potencial Atividade do Empire Detecta a atividade Empire que sequestra o Microsoft Outlook para exfiltrar dados por e-mail.
Regra Atividade Epic Potencial Detecta a atividade do Turla Epic que procura vários termos dentro do sistema da vítima
Regra Potencial Atividade de Exploração do Exchange Detectada Detecta potencial atividade de exploração do Exchange. Com base na regra de Assinatura Atividade de Exploração do Exchange por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Descoberta de arquivo e diretório em potencial Aciona quando um arquivo ou diretório é procurado para a descoberta de informações Um adversário pode enumerar arquivos e diretórios ou pode procurar em locais específicos de um host ou compartilhamento de rede determinadas informações dentro de um sistema de arquivos.
Regra Fluxo Potencial de Interceptação de Execução É acionado quando uma DLL é carregada ou excluída de uma pasta ou arquivo suspeito.
Regra Atividade Potencial do Gazer Detecta a atividade do Turla Gazer que é um backdoor que usa várias técnicas para persistência.
Regra Arquivo ou Diretório Oculto Potencial Aciona quando um arquivo ou atributos de diretório são alterados ou modificados para ocultar artefatos de usuários
Regra Potencial Atividade do HyperStack Detecta a atividade HyperStack do Turla, que é uma porta dos fundos
Regra Atividade de remoção do indicador potencial no host Aciona quando um adversário exclui ou modifica artefatos gerados em um sistema host para remover evidências de sua presença ou impedir defesas.
Regra Transferência de ferramenta de ingresso em potencial Detecta uma chamada suspeita para Invoke-WebRequest, curl ou wget onde a saída and está localizada em um local suspeito. Com base no Suspeito Invoke-WebRequest Uso Regra Sigma de Nasreddine Bencherchali.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Potencial Atividade do Kazuar Detecta a atividade Kazuar que é uma criação de atalho e uma sub-chave incluída no caminho de registro HKCU.
Regra Atividade LOLBIN Potencial Aciona quando LOLBIN é usado para executar código para um binário especificado.
Regra Potencial Movimento Lateral via PowerShell Detecta um processo PowerShell gerado como um processo filho ou filho de processos comumente abusados durante o movimento lateral. Com base na regra de Sigma de Movimentação Lateral Possível PowerShell Spawn por Mauricio Velazco e Splunk.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Exportação de caixa de correio MSExchange em potencial É acionado quando os dados de uma caixa de correio de troca são exportados para um arquivo
Regra Instalação do Agente de Transporte MSExchange Malicioso em Potencial Detecta a instalação de um Agente de Transporte do Exchange
Regra Potencial Atividade de Mosquito Detecta atividade do Mosquito, que é um backdoor Win32 .
Regra Potencial PowerShell ReverseShell Conexão Detecta o uso do 'TcpClient' aula. Que pode ser abusado para estabelecer conexões remotas e reversos. Com base no Potencial Powershell ReverseShell Conexão Regra Sigma por FPT.EagleEye, wagga e Nasreddine Bencherchali (Nextron Systems).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Configuração de Encaminhamento de Proxy Potencial É acionado quando uma porta de proxy é configurada para ser usada no encaminhamento Adversários podem configurar portas de proxy para ignorar restrições de rede por meio de tunelamento.
Regra Descarregamento de Variável de Registro ou Ambiente em Potencial Aciona quando mudanças são feitas nas variáveis de ambiente ou no registro Isso poderia indicar um precursor para um ataque ransomware.
Regra Tarefa planejada potencial criada Detecta as tarefas planejadas criadas
Regra Descoberta de software de segurança em potencial É acionado quando um software de segurança é descoberto Os adversários podem tentar obter uma lista de software de segurança, configurações, ferramentas defensivas e sensores que estão instalados em um sistema ou em um ambiente de nuvem. Isso pode incluir coisas como regras de firewall e anti-vírus.
Regra Acesso à memória de Svchost em potencial Detecta o acesso potencial à memória do processo de svchost, como aquele usado pelo Invoke-Phantom para eliminar o serviço de criação de log de eventos do Windows winRM Com base na regra de Sigma Suspeito Svchost Memory Ascess de Tim Burrell.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Potencial de carregamento lateral de DLL do sistema a partir de locais não do sistema Detecta o carregamento lateral de DLL de DLLs geralmente localizadas em locais do sistema, como System32, ou SysWOW64 Com base no Sideload de DLL do sistema de locais que não são do sistema Regra Sigma de Nasreddine Bencherchali, Wietze Beukema (projeto e pesquisa), Chris Spehn (pesquisa WFH Dridex) e XForceIR ( SideLoadHunter Projeto).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Potencial Atividade do TinyTurla Detecta atividade TinyTurla que usa uma DLL falsa chamada w64time.dll. A versão legit do Windows é w32time.dll, o que torna o malware menos perceptível.
Regra Atividade de Reconhecimento Turla Potencial Detecta uma atividade Turla comum que executa vários comandos de reconhecimento para descobrir sobre a máquina vítima e também para se mover lateralmente.
Regra Potencial Comando Shell Unix e Interpretador de Script Detecta acionadores quando comandos shell ou código de programa suspeitos que podem ser executados para interpretadores de comando e de script
Regra Potencial Shell da Web Descartado Detecta possíveis shells da web descartados Com base na regra de assinatura Suspeito do arquivo ASPX descartado pelo Exchange por Florian Roth (regra), MSTI (consulta, ideia).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Potencial WinAPI Chamadas por meio de scripts do PowerShell Detecta o uso de funções WinAPI em scripts PowerShell . Com base na regra de assinatura Potencial WinAPI Chamadas por meio de scripts do PowerShell por Nikita Nazarov, oscd.communitye Tim Shelton.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Interpretador de shell de comando do Windows em potencial Aciona quando o uso da passagem de caminho em cmd.exe indica possível confusão de comando / argumento / hijacking Com base no Cmd.exe CommandLine Path Traversal Regra de Sigma por xknow @xknow_infosece Tim Shelton

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação de Tarefa Planejada do Windows Potencial Aciona quando os adversários tentam criar uma tarefa planejada
Regra Descoberta de software do Windows em potencial Aciona quando um software Windows é descoberto. Os adversários podem tentar enumerar o software por uma variedade de razões, como descobrir quais medidas de segurança estão presentes ou se o sistema comprometido tem uma versão do software com uma vulnerabilidade.
Regra PowerShell DownloadFile Detecta a execução de powershell, a criação de um objeto WebClient e a chamada de DownloadFile em uma única linha de comandos Com base na regra Sigma PowerShell DownloadFile por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra PowerShell Modificação de Perfil Aciona quando um perfil powershell é criado ou modificado que pode indicar atividade suspeita, pois o perfil pode ser usado como uma média de persistência. Com base na regra de Sigma de PowerShell por HieuTT35e Nasreddine Bencherchali

Usado sob a Licença de Regra de Detecção 1.1.

Regra Atividade de Keylogging do Powershell Detecta a atividade de keylogging do Powershell. Com base na regra de assinatura Powershell Keylogging por frack113.
Regra Coleção de e-mail local do Powershell Detecta adversários que visam o e-mail do usuário em sistemas locais para coletar informações confidenciais. Com base na Coleção de e-mail local do Powershell por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação de encadeamento remoto do Powershell Detecta o Powershell injetando código em processos críticos do Windows
Regra Injeção de Processo via Maldoc Detecta injeção de processo usando maldoc. Com base na regra de Sigma LittleCorporal Generated Maldoc Injection por Christian Burkard.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Contrato de Psexec Accepteula Detectado Detecta a atividade de psexec accepteula. Com base na regra de Sigma Psexec Accepteula Condition por omkar72

Usado sob a Licença de Regra de Detecção 1.1.

Regra Python Carga de Imagem Principal Detectada Detecta o carregamento da imagem do Núcleo Python Com base na regra Python Py2Exe Image Load Sigma de Patrick St. John e OTR (Open Threat Research).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Python Py2Exe Carregamento de imagem Detecta o carregamento de imagem do Python indicativo de um script Python empacotado com Py2Exe. Com base na regra Python Py2Exe Image Load Sigma de Patrick St. John e OTR (Open Threat Research).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Comunicação RDP sobre Endereço de Loopback Detecta a comunicação RDP no endereço de loopback. Com base na regra de Sigma RDP over Reverse SSH Tunnel WFP de Samir Bousseaden.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Atividade de reconhecimento usando comandos BuiltIn Detecta a execução de um conjunto de comandos builtin frequentemente usados em estágios de reconhecimento por diferentes grupos de ataque Com base na regra de Sigma Execução rápida de uma série de comandos suspeitos por juju4.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Regedit Iniciado com TrustedInstaller Privilégios Detecta regedit iniciado com privilégios TrustedInstaller ou com ProcessHacker.exe. Com base na regra do Sigma Regedit como Trusted Installer por Florian Roth

Usado sob a Licença de Regra de Detecção 1.1.

Regra Modificação de registro das chaves de execução Detecta a modificação de registro de chaves de execução Com base no Instalação de driver suspeito por pnputil.exe Regra Sigma por Hai Vaknin @LuxNoBulIshit, Avihay Eldad @aloneliassaf e Austin Songer @austinsonger.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Regsvr32 Conexão de Rede de Saída Detecta as conexões de saída iniciadas pelo regsvr32.exe
Regra Sessão PowerShell Remota Detecta conexões remotas do PowerShell monitorando conexões de saída de rede para as portas 5985 ou 5986 de uma conta de serviço não de rede. Com base na regra de assinatura Sessão PowerShell Remota (Rede) por Roberto Rodriguez (@Cyb3rWard0g).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação de tarefa planejada remota Detecta as criações de tarefas planejadas remotas
Regra Atividade de serviço remoto por meio do canal nomeado SVCCTL Detecta atividade de serviço remoto por meio de acesso remoto ao canal nomeado svcctl. Com base na regra de Sigma Criação de serviço remoto por meio de canais nomeados por mdecrevoisier.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação de encadeamento remoto em destinos suspeitos Detecta a criação de um encadeamento remoto em imagens de destino suspeitas Com base na Criação de encadeamento remoto em destinos suspeitos por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Certificado raiz instalado Detecta adversários instalando um certificado raiz em um sistema comprometido para evitar avisos ao se conectar a servidores da web controlados pelo adversário.
Regra RunDLL32 Conexão de Rede de Saída Detecta as conexões de saída iniciadas pelo rundll32.exe
Regra Rundll32 com linhagem de processo suspeito Detecta execuções de rundll32.exe de processos pai incomuns.
Regra Execução de binário interceptado detectada Detecta a execução de binário interceptado Com base no Usando SettingSyncHost.exe como LOLBin Regra Sigma de Anton Kutepov, e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Atividade da Linha de Comandos do Ryuk Ransomware Detectada.. Detecta a atividade da linha de comandos do Ryuk ransomware Com base na regra do Sigma Ryuk Ransomware Command Line Activity por Vasiliy Burov.

Usado sob a Licença de Regra de Detecção 1.1.

Regra SMB Criar Compartilhamento de Administrador de Arquivo Remoto Detecta contas não do sistema SMB acessando um arquivo com máscara de acesso de gravação (0x2) por meio de compartilhamento administrativo, como C$. Com base na regra SMB Create Remote File Admin Share Sigma por Jose Rodriguez (@Cyb3rPandaH) e OTR (Open Threat Research).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Configuração de firewall SSH Detecta a configuração de firewall do SSH Com base na configuração do firewall do servidor OpenSSH no Windows (comando) Sigma regra por mdecrevoisier.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Conexão iniciada pelo script Detecta um interpretador de script wscript / cscript que abre uma conexão de rede Os adversários podem usar script para fazer download de cargas úteis maliciosas. Com base na regra de assinatura Conexão Iniciada por Script por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Interceptação de Dll de Serviço Detecta mudanças no valor ServiceDLL relacionadas a um serviço no registro. Isso é frequentemente usado como um método de persistência. Com base na regra de Sigma ServiceDll Hijack por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Regra Verificação de fraqueza de permissões de registro de serviço Detecta adversários verificando falhas em permissões dentro do registro para redirecionar do executável originalmente especificado para um que eles controlam, a fim de ativar seu próprio código no início do Serviço. Com base na regra de Assinatura Verificação de Fraqueza de Permissões de Registro de Serviço por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra SetupComplete.cmd Exploração Detecta uma tentativa de exploração de vulnerabilidade de escalação de privilégios por meio de SetupComplete.cmd e PartnerSetupComplete.cmd
Regra Criação de cópias de sombra usando utilitários de sistemas operacionais Detecta possíveis cenários de acesso de credencial em que cópias shadow são criados usando utilitários de sistemas operacionais. Com base na regra de Sigma Criação de cópias de sombra usando utilitários de sistemas operacionais por Teymur Kheirkhabarov, Daniil iugoslavskiy e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Shells gerados por servidores da web Detecta servidores da web que geram processos de shell que poderiam ser o resultado de um shell da web colocado com sucesso ou de outro ataque. Com base na regra de assinatura Shells Spawn by Web Servers por Thomas Patzke, Florian Roth (Sistemas Nextron), Zach Stanford @svch0st, Tim Shelton e Nasreddine Bencherchali (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Atividade Snatch Ransomware Detectada Detecta atividade de ransomware Snatch. Com base na regra de Sigma do Snatch Ransomware por Florian Roth

Usado sob a Licença de Regra de Detecção 1.1.

Regra Nome do driver Mimikatz estático detectado Detecta nomes de driver mimikatz explorados conhecidos Com base na regra de assinatura PrinterNightmare Mimikatz Driver Name por Markus Neis, @markus_neise Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Arquivos de Incorporação de Steganography Detecta a integração de arquivos de esteganografia Baseado na regra de Sigma Steganography Unzip Hidden Information From Picture File de Pawel Mazur.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Arquivos de Extração de Steganography Detecta a extração de arquivos de esteganografia Com base na regra Sigma Steganography Extract Files with Steghide de Pawel Mazur.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Steganografia com RAR Detecta uma tentativa de escalada de privilégio por meio de uma variável de ambiente de diretório do Windows suspeita. Com base na regra de Sigma Suspeita Greedy Compression Usando Rar.EXE por X__Junior (Sistemas Nextron) e Florian Roth (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Comportamento Suspeito por Agente SOURGUM Detecta o comportamento suspeito pelo agente SOURGUM
Regra Execução de DLL binária suspeita É acionado quando uma DLL é executada a partir de um diretório especificado
Regra Carregamento e execução binários suspeitos Aciona quando uma DLL arbitrária é carregada ou executada de um binário especificado.
Regra Criação de logs de CLR suspeitos Detecta execuções suspeitas do conjunto .NET Com base na regra de assinatura Criação de logs de CLR suspeitos por omkar72, oscd.communitye Wojciech Lesicki.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Mudança suspeita do agente do usuário Detecta uma mudança suspeita do agente do usuário Os adversários podem se comunicar usando protocolos de camada de aplicativo associados ao tráfego da web para evitar a detecção / filtragem de rede combinando com o tráfego existente.
Regra Comando de cópia suspeita do compartilhamento do administrador Detecta comando de cópia suspeito do compartilhamento administrativo. Com base no Copiar do compartilhamento administrativo Regra Sigma de Florian Roth (Nextron Systems), oscd.community, Teymur Kheirkhabarov @HeirhabarovT, Zach Stanford @svch0st e Nasreddine Bencherchali.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Criação suspeita de arquivo Get-Variable Detecta a criação suspeita do arquivo get-variable.exe Com base na regra de Sigma Suspeito Get-Variable.exe Creation por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Regra Tarefa Planejada / Tarefa Cron Suspeito Detecta o abuso do utilitário cron para executar o planejamento de tarefas para execução inicial ou recorrente de código malicioso
Regra Download de curl suspeito Detecta um início de processo do curl suspeito no Windows e envia o documento solicitado para um arquivo local Com base na regra Sigma Suspeita Curl.EXE Download por Florian Roth (Sistemas Nextron) e Nasreddine Bencherchali (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Processo de extensão de arquivo duplo suspeito Detecta processos com extensões de arquivo duplas Com base na regra de Sigma Execução de Arquivo de Extensão Dupla Suspeita por Florian Roth (Sistemas Nextron), @blu3_team (ideia) e Nasreddine Bencherchali (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Shell do sistema elevado suspeito Aciona quando um programa shell como o prompt de comandos do Windows ou o PowerShell é ativado com privilégios do sistema. Com base na regra de assinatura Shell do sistema elevado suspeito por frack113e Tim Shelton.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Suspeito EventLog Limpo Detecta a limpeza de logs de eventos usando wevtutil, powershell e wmic
Regra Execução suspeita de conversão de arquivo GRP Detecta a execução suspeita da conversão de arquivo .grp Com base na regra de assinatura Suspeita GrpConv Execução por Florian Roth (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Execução Suspeita do Outlook a partir do Diretório Temporário Detecta o Outlook executado a partir de um diretório temporário Com base na regra de assinatura Execução na pasta temporária do Outlook por Florian Roth (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Execução suspeita com Colorcpl Detecta a execução suspeita de colorcpl.exe Com base na regra Criação suspeita com Colorcpl Sigma por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Arquivo suspeito criado pelo aplicativo do Office Detecta a criação de arquivo executável e de script por aplicativos do Microsoft Office Com base na regra de Sigma Arquivos Criados por Aplicativos do Office por Vadim Khrykov (ThreatIntel) e Cyb3rEng (Regra).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Download de arquivo suspeito usando o aplicativo do Office Detecta o uso do Microsoft Word, Microsoft Excel ou Microsoft PowerPoint sendo usado para fazer download de arquivos arbitrários. Com base na regra de Sigma Download de arquivo suspeito usando o aplicativo do Office por Beyu Denis e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Get Suspeito-Criação de Variável Detecta a persistência do PowerShell por meio da interceptação Get-Variable.exe. Com base na regra de Sigma Suspeito Get-Variable.exe Creation por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Regra Suspeito GetTypeFromCLSID ShellExecute Detecta código Powershell suspeito que executa Objetos COM. Com base no Suspeito GetTypeFromCLSID ShellExecute Regra Sigma por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Grupo Suspeito E Atividade de Reconhecimento de Conta Detecta atividade suspeita da linha de comandos de reconhecimento em sistemas Windows
Regra Atividade de exclusão de arquivo de host suspeito Acionadores quando arquivos host são excluídos de um sistema.
Regra Execução suspeita do módulo na memória Detecta eventos de acesso ao processo por processos suspeitos que possuem bibliotecas carregadas refletivamente em seu espaço de memória. Com base na regra de Sigma Execução do Módulo na Memória Suspeita por Perez Diego (@darkquassar), oscd.communitye Jonhnathan Ribeiro.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Suspeito Linux Log limpo Acionadores quando tentativas de limpar logs no sistema Adversários podem limpar logs do sistema para ocultar evidências de uma intrusão. Com base na regra de assinatura Limpar Linux Logs por Ömer Günal e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Log do sistema Mac suspeito limpo É acionado quando um log de auditoria local é excluído Com base na regra do Indicator Removal on Host-Clear Mac System Logs Sigma por remotephone e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Processo Filho suspeito do Microsoft OneNote Detecta o processo-filho suspeito do Microsoft Onenote gerado. Com base na regra de Sigma Processo filho suspeito do Microsoft OneNote por Tim Rauch (Sistemas Nextron), Nasreddine Bencherchali (Sistemas Nextron) e Elastic (ideia).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Exfiltração de Padrões de Processo NTDS Suspeitos Detecta processos suspeitos que gravam (copiam) um arquivo de banco de dados Active Directory (ntds.dit). Com base no NTDS do NTDS.DIT Criação por processo incomum Regra de assinatura por Florian Roth (Sistemas Nextron) e Nasreddine Bencherchali (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Gravações de processo NTDS suspeitas Detecta padrões de processo suspeitos usados no NTDS do NTDS.DIT . Com base no NTDS Padrões de Processo Suspeitos NTDS.DIT Exfil Sigma por Florian Roth (Nextron Systems).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Nova instância suspeita de um objeto COM do Office Detecta um aplicativo Microsoft Office criando uma instância de um dos objetos COM do Office, como Word.Applicationou Excel.Application. Isso pode ser usado por agentes maliciosos para criar documentos maliciosos do Office com macros em tempo real.. Baseado na Nova instância suspeita de um objeto COM do Office por Nasreddine Bencherchali (Nextron Systems).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Conexões SMTP de saída suspeitas Detecta potencial de exfiltração sobre o protocolo SMTP Com base na regra de Sigma de Conexões SMTP de Saída Suspeitos por frack113

Usado sob a Licença de Regra de Detecção 1.1.

Regra Palavras-chave Suspeitas do PowerShell Detecta palavras-chave que poderiam indicar o uso de alguma estrutura de exploração do PowerShell Com base na regra de Sigma Potencial suspeito PowerShell Palavras-chave por Florian Roth (Sistemas Nextron), Perez Diego (@darkquassar) e Tuan Le (NCSGroup).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Descoberta de processo suspeito com processo de obtenção Detecta adversários executando a descoberta para obter os processos que estão em execução no computador local. Com base na regra de assinatura Descoberta de processo suspeito com get-Processo por frack113.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Processo Suspeito da Ajuda do Microsoft HTML Detecta processo suspeito gerado a partir da Ajuda de HTML da Microsoft Baseado na Ajuda HTML HH.EXE Processo Filho Suspeito EXE por Maxim Pavlunin e Nasreddine Bencherchali (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Local Suspeito do Programa com Conexões de Rede Detecta programas com conexões de rede em execução em locais do sistema de arquivos suspeitos Com base no Local do programa suspeito com conexões de rede de Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Execução Binária de Proxy Suspeito Aciona quando um binário do sistema é executado de um proxy.
Regra Atividade Suspeita do PsExec Detecta atividade suspeita de PsExec Com base na regra de assinatura Impacket PsExec Execution por Bhabesh Raj.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Canal Nomeado Remoto Suspeito Detecta movimentos laterais e cenários de execução remota usando canais nomeados recém-observados acessados remotamente Com base na regra de Sigma Canal nomeado remoto visto pela primeira vez por Samir Bousseaden.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Tarefa Planejada Suspeita Detecta eventos de criação ou atualização de tarefa planejada suspeitos com base em atributos como caminhos ou sinalizadores de linha de comando. Com base na Criação de tarefa planejada suspeita por Nasreddine Bencherchali.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Script Suspeito em um Consumidor WMI Detecta comandos suspeitos relacionados ao script / powershell no WMI Event Consumers. Com base na regra de Sigma Scripts Suspeitos em um Consumidor WMI por Florian Roth (Sistemas Nextron) e Jonhnathan Ribeiro.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Subprocesso Suspeito do RazerInstaller Detecta subprocesso suspeito do RazerInstaller.exe. Com base na regra de Sigma Suspeito RazerInstaller Subprocesso do Explorer por Florian Roth e Maxime Thiebaut

Usado sob a Licença de Regra de Detecção 1.1.

Regra Anomalia de execução de Svchost suspeito Detecta o svchost.exe executado sem qualquer argumento da CLI que é normalmente observado quando um processo malicioso gera o processo e injeta código no espaço de memória do processo Com base na regra de Sigma Atividade Svchost Suspeita por David Burkett e @signalblur.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Túnel TCP Suspeito por meio do Script PowerShell Detecta scripts do PowerShell que criam soquetes / listeners que poderiam ser indicativos de atividade de tunelamento Com base na regra de Sigma Túnel TCP suspeito via PowerShell Script por Nasreddine Bencherchali (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Logon de contas válidas suspeitas Aciona quando um login suspeito de uma conta válida é detectado.
Regra Execução suspeita do WMIC Detecta o WMIC executando comandos suspeitos ou de reconhecimento Com base na regra de Sigma Execução suspeita de WMIC por Michael Haag, Florian Roth, juju4e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Suspeito WebDav execução do cliente Detecta tentativas de exfiltração ou uso de WebDav para ativar código hospedado em um servidor WebDav . Com base na regra de assinatura WebDav Execução do cliente por Roberto Rodriguez (Cyb3rWard0g) e OTR (Open Threat Research).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Symlink para passwd Criado Detecta symlink criado no diretório /etc/passwd . Com base na regra Sigma Symlink Etc Passwd por Florian Roth.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Proprietário do sistema ou Descoberta do usuário (Linux) Detecta atividades de descoberta do proprietário do sistema ou do usuário Com base na regra de Sigma System Owner ou User Discovery por Timur Zinniatullin e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Proprietário do sistema ou Descoberta do usuário (Windows) Detecta atividades de descoberta do proprietário do sistema ou do usuário Com base na regra de assinatura Descoberta de contas locais por Timur Zinniatullin, Daniil Jugoslavskiy e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Atividade de descoberta de tempo do sistema Detecta a atividade de descoberta de tempo do sistema
Regra Representação de token por meio do PowerShell Detecta adversários que alavancam funções da API do Windows relacionadas à personificação ou roubo de token.
Regra Transferindo arquivos com dados de credenciais por meio de compartilhamentos de rede Detecta tentativas de transferir arquivos com nomes de arquivos conhecidos, como arquivos sensíveis com dados de credenciais, usando compartilhamentos de rede. Com base na regra de Sigma Transferindo arquivos com dados de credenciais por meio de compartilhamentos de rede por Teymur Kheirkhabarov e oscd.community.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Serviço Turla Instalado É acionado quando um serviço malicioso conhecido por um APT malicioso é instalado
Regra Restrições Remotas UAC Desativadas Detecta modificação de registro permitindo ações administrativas remotas. Com base na regra de Sigma Desativar restrição remota do UAC por Steven Dick, Teoderick Contreras e Splunk.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Processo incomum gerado a partir do HWP Detecta processos incomuns que geram a partir do Hangul Word Processor (Hanword). Com base na regra de assinatura Subprocessos suspeitos do HWP por Florian Roth (Sistemas Nextron).

Usado sob a Licença de Regra de Detecção 1.1.

Regra Processo-filho incomum de processos diferentes Detecta processo-filho incomum de diferentes processos. Com base no Privilégio de Depuração Abusada por Processos Pai Arbitrários Regra de Sigma por Semanur Guneysu @semanurtge oscd.community

Usado sob a Licença de Regra de Detecção 1.1.

Regra Autenticação do usuário por meio de várias credenciais explícitas Detecta um usuário tentando autenticar com vários usuários de destino usando credenciais explícitas.
Regra Criação de usuário abusando da vulnerabilidade do Fortinet Detecta a criação de usuário abusando da vulnerabilidade do Fortinet. Com base na regra de Sigma Fortinet APT group abuse on Windows (user) por mdecrevoisier.

Usado sob a Licença de Regra de Detecção 1.1.

Regra VBA DLL Carregado por meio do Aplicativo do Office Detecta DLLs do VB carregadas por um aplicativo do Microsoft Office, o que poderia indicar a presença de Macros do VBA Com base na regra Sigma VBA DLL Loaded Via Office Application por Antonlovesdnb.

Usado sob a Licença de Regra de Detecção 1.1.

Regra VirtualBox Driver instalado ou iniciado Detecta instalação do driver VirtualBox ou um início de máquinas virtuais. Com base na regra de Sigma Detect Virtualbox Driver Installation OR Iniciando de VMs de Janantha Marasinghe

Usado sob a Licença de Regra de Detecção 1.1.

Regra Driver vulnerável carregado É acionado quando um driver vulnerável é carregado Com base na regra do Sigma Windows Vulnerável Driver Loaded por Michael Haag e Splunk..

Usado sob a Licença de Regra de Detecção 1.1.

Regra Persistência do Consumidor do Evento WMI Detecta consumidores de eventos da linha de comando WMI. Com base na regra de Sigma WMI Persistence-Command Line Event Consumer por Thomas Patzke.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Arquivo de Descarte WScript ou CScript Detecta um arquivo terminando em jse, vbe, js, vbaou vbs sendo gravado por cscript.exe ou wscript.exe. Com base na regra do WScript ou CScript Dropper-File Sigma por Tim Shelton

Usado sob a Licença de Regra de Detecção 1.1.

Regra Registro de Eventos do Windows Desativado por meio do Registro Detecta violação com a chave de registro 'Ativada' para desativar a criação de log de janelas de um canal de eventos do Windows. Com base na regra de assinatura Desativar criação de log de eventos do Windows por meio do Registro por frack113e Nasreddine Bencherchali.

Usado sob a Licença de Regra de Detecção 1.1.

Regra Modificação do Registro de Confiança do Windows Registry Detecta a modificação do registro de confiança do registro do Windows Com base na regra de Sigma Modificação do Registro de Confiança do Windows por Antonlovesdnb.

Usado sob a Licença de Regra de Detecção 1.1.

(Voltar para o topo)